Ubantu18 yaya病毒清理
记一次服务器被黑用于挖矿的处理记录 - SupperMary - 博客园 (cnblogs.com)
有些病毒不隐藏直接删除
找到运行的服务
找到隐藏的进程
apt install unhide
unhide proc (root权限)
使用 top查看
查看进程状态
systemctl status 25042
这几个都有问题
删除这几个进程
kill 15404 25035 25042
再次删除三个定时任务
写文档的时候,时间太长了又启动了一次
crontab -l
编辑定时任务
crontab -e
Ctrl + k 删除定时任务
Ctrl + o 保存文件 回车确认
Ctrl + x 退出
这时候一般能解决病毒不在系统盘的问题。
而对于在系统盘中的问题
一般病毒解决方法
清理启动项
检查 /etc/rc.local
和 /etc/systemd/system
中的服务文件。
检查 /etc/rc.local
和 /etc/systemd/system
中的服务文件。
vim /etc/rc/local
lsattr /usr/bin/36513e57
文件 /usr/bin/36513e57
设置了 i
(不可变)和 a
(仅追加)属性:
i
属性表示文件不可被修改、删除、重命名或链接。a
属性表示文件仅能以追加方式打开进行写入。
改变文件状态使其可以删除
chattr -i -a /usr/bin/70ad55cc
rm /usr/bin/36513e57
同理
chattr -i -a /usr/bin/70ad55cc
rm /usr/bin/70ad55cc
删除/etc/rc.local中的病毒启动脚本
因为还是只读所以需要修改权限
lsattr /etc/rc.local
chattr -i -a /etc/rc.local
vim /etc/rc.local
删除启动脚本就行了