记一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)

前言

今天登上服务部署个文件,然后顺便看了一下cpu占用情况,然后我就发现CPU爆满,因为之前遇见过这个问题让别人给解决了,据说这是被挖矿了。通过kill命令结束掉这个进程一会就自己有起来了,所以我就百度了一下。看来还真有小伙伴跟我一下,所以我也自己记录一下,方便以后查看。

查看CPU使用情况

通过top命令查看cpu占用情况,发现有一个程序占用90%多的cpu资源,那么着肯定是不正常。而且我们的发现他个伪装成了系统更新,可能小白中的小白就真的误以为系统更新占用了cpu。

file

file

删除木马文件

1、清除源程序

然后通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,然后去把它删掉。

file

我们去/etc目录下果然发现了,有sysupdate.sh执行文件,随之还有一些其他的源程序,我们需要将这些程序一并删除。
使用rm -rf命令将sysupdate、networkservice 、sysguard、update.sh 这四个文件删除,发现没有权限,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -rf sysupdate 即可正常删除。其他文件也是先执行chattr -i 命令 然后在执行rm -rf命令

2、清除定时任务

rm /var/spool/cron/root 或crontab -r

修复服务器

1、修复SELinux被关闭了,需要重新打开。

病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。我们发现SELinux被关闭了,需要重新打开。file

如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。

2、修复wget命令和curl命令

wget命令和curl命令会被改为wge和cur,需要将他改回默认配置。

mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

3、修改authorized_keys

它在 /root/.ssh/authorized_keys里面,添加病毒作者自己的公钥,保证其可以使用 SSH 登录到服务器,所以需要将它删除。rm -rf /root/.ssh/authorized_keys
温馨提示:不确定的文件在删除前一定要先备份哦!

安全加固

新建一个用户,然后禁止root用户ssh登录
参考链接1:记录一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)_注意措辞的博客-CSDN博客_sysupdate
参考链接2:Linux挖矿病毒-sysupdate, networkservice清除记_wj-1024的博客-CSDN博客您的点赞就是对我最大的支持,愿您事事没烦恼,天天没Bug!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小陈没烦恼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值