记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒!

突然发现服务器cpu及负载全部达到100%,不出意外应该是中病毒了,开始十万火急的排查!!!!!

1、首先执行

top

查看具体占用
在这里插入图片描述

果然不出所料,中了挖矿病毒,下面开始清除

2、直接杀死进程

kill -9 xxx

发现病毒会重启,我们只能找到根源文件,进行删除在杀掉进程

3、开始查找文件

find / -name xmrig

找到文件目录:/root/skypool/xmrig 在这里插入图片描述
4、进入看一下文件详情

cd /root/skypool
ls

在这里插入图片描述
果然是病毒文件

5、进行删除处理

rm -rf skypool

6、然后杀死进程查看占用

kill -9 xxx

在这里插入图片描述
果然xmrig已经清除,但是mysql占用飙升,继续进行定位查看mysql的问题

7、首先重启mysql

service mysqld restart

发现占用依旧快达到100%,没什么作用

8、关闭mysql进程

service mysqld stop

发现mysql进程依旧存在

9、那我们要看下这个进程里面的文件究竟是什么

 lsof -p xxx

查到文件地址在这里/etc/mysql/mysql,对小编来说很明显,因为小编的mysql安装的位置不是这里,那我们详细的看一下

10、进入查看文件结构

cd /etc/mysql
ls

在这里插入图片描述
果然是伪装的mysql,那我们也同上面一样,进行删除程序目录,然后杀死进程

11、继续检测完美清除病毒程序CPU占用回归正常

top

到这里小编的清除服务器病毒也就到此结束了,后续小编会继续查找,病毒究竟是怎么进来的,期待真相大白,最后问候一下制造病毒黑客的祖宗十八代!

经过小编的定位及资料翻阅,定位到问题是由于yapi的漏洞导致,木马是通过ypai恶意注册用户然后通过mock接口注入代码引起的。解决的办法是关掉注册功能和mock功能然后将异常的数据清除(用户和mock数据)

  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jeson是只程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值