记一次简单的挖矿病毒清除---实战

 

1、top 命令查看进程,cpu使用达到100%

此处尝试使用 kill -9+ 进程号  ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务

2、查看木马保存路径

通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,上图PID 为进程号

3、进入到木马文件所在路径

通过进程号定位到病毒文件后,进入到对应的目录

cd  /usr/lib/updated   

ls  或者 ls -alh  

4、使用删除命令  rm -rf  + 病毒文件名

发现设置了文件特殊属性,不能强制删除

5、查看与清除文件特殊属性

a)、查看属性  :  lsattr + 文件名

b)、去除特殊属性 : chattr -a +文件名   或者   chattr -i  +文件名

也可以使用    chattr -ia  *     " * " 号指当前目录下所有文件

c)、去除挖矿病毒文件特殊属性后,便可以清除病毒,或者备份以供溯源

lsattr  命令介绍

Linux  lsattr 命令用于显示文件的属性

语法:

lsattr  【-参数】 文件名或路径

参数:

  1. -a  显示所有文件和目录,包括以"."为名称开头字符的额外内建,现行目录"."与上层目录".."。
  2. -d  显示,目录名称,而非其内容。
  3. -l  此参数目前没有任何作用。
  4. -R  递归处理,将指定目录下的所有文件及子目录一并处理。
  5. -v  显示文件或目录版本。
  6. -V  显示版本信息。

实例:

# lsattr /etc/resolv.conf

输出结果:

----i-------- /etc/resolv.conf

chattr   命令介绍

Linux chattr 命令用于防止系统中某个关键文件被修改

语法: (与chmod 命令语法相同,仅参数不同)

chattr  +/-  【参数】 文件或路径

参数:

  1. a: 文件只能增加内容不能减少内容, 不能删除文件;
  2. b:不更新文件或目录的最后存取时间。
  3. c:将文件或目录压缩后存放。
  4. d:将文件或目录排除在倾倒操作之外。
  5. i:静态文件永不变。 文件有了i属性, 内容不能变,文件不能删除。
  6. s:保密性删除文件或目录。
  7. S:即时更新文件或目录。
  8. u:预防意外删除。

实例:

# chattr +i /etc/resolv.conf
# lsattr /etc/resolv.conf

输出结果:

----i-------- /etc/resolv.conf

6、 清除定时任务

crontab -l  # 表示列出所有的定时任务
crontab -r  # 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除

存在文件属性问题,同上去除属性后删除

crontab -r

 lsattr /var/spool/cron/root  查看权限

 chattr -ia /var/spool/cron/root  清除权限

7、在线恶意文件检测平台

VirSCAN:https://www.virscan.org/language/zh-cn/

腾讯哈勃分析系统:https://habo.qq.com

魔盾安全分析:https://www.maldun.com/submit/submit_file/

微步在线云沙箱:https://s.threatbook.cn/

Jotti的恶意软件扫描系统:https://virusscan.jotti.org/

Falcon Sandbox:https://www.hybrid-analysis.com/

VirusTotal:https://www.virustotal.com/gui/home

奇安信文件深度分析平台:https://sandbox.ti.qianxin.com/

ScanVir:http://www.scanvir.com/


 

 转自:几个比较有用的:在线病毒扫描,可疑软件检测,在线安全分析扫描网站 - 知乎

  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xmrig病毒是一种恶意软件,它会利用受感染计算机的资源进行加密货币,导致计算机性能下降和电费增加。为了彻底清除xmrig病毒,你可以按照以下步骤进行操作: 1. 更新杀毒软件:确保你的杀毒软件是最新版本,并进行全盘扫描。如果你没有安装杀毒软件,建议先安装一个可信赖的杀毒软件。 2. 断开网络连接:为了防止病毒继续传播和更新,断开计算机与互联网的连接。 3. 手动删除文件:使用杀毒软件或者手动查找并删除与xmrig病毒相关的文件。这些文件通常位于系统目录、临时文件夹或者启动项中。请注意,手动删除文件可能需要一些技术知识,如果你不确定,请寻求专业人士的帮助。 4. 清理注册表:打开注册表编辑器(regedit),搜索并删除与xmrig病毒相关的注册表项。在删除注册表项之前,请备份注册表以防止意外发生。 5. 恢复系统设置:xmrig病毒可能会修改系统设置,导致一些功能异常。你可以通过还原系统设置或者重新安装操作系统来恢复正常。 6. 更新系统和软件:确保你的操作系统和软件都是最新版本,以填补安全漏洞,减少被病毒感染的风险。 7. 加强安全意识:避免点击可疑链接、下载未知来源的文件,定期备份重要数据,使用强密码等措施可以提高计算机的安全性。 请注意,以上步骤仅供参考,不同的病毒可能有不同的传播方式和清除方法。如果你对操作不确定或者无法清除病毒,请咨询专业的计算机安全人员或者技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值