挖矿病毒清除记录
出现现象
cpu是4核的但使用htop无法查看到,之前跑的服务进程都被kill掉了,重新启动服务依然被kill掉。
查看定时任务
crontab -l 会出现如下这些curl请求一个域名里面的数据并且下载脚本只需,清除之后还是会存在。
开始解决
于是乎我先把/etc/hosts 加上了一个 127.0.0.1 aliyun.one 这样的记录,并且chattr +i /etc/hosts 防止再被修改。
然后把/var/spool/cron/root 的数据清除,并且快速的 chattr +i /var/spool/cron/root防止定时任务再被修改。
做完这些只会,以为就可以结束了,显然是我想多了(期间我还重启过服务器,当然这一步完全没必要,因为病毒服务还在跑)
重启完全没效果,查看top
找不到pid,于是乎参考了别人的文档,使用了perf top -s comm,pid命令