1、首先查看top命令下占用cpu最高的是什么进程
#top
#lsof 进程名 如果是挖矿程序可以看到明显的异常
具体lsof的用法 请参考 https://www.cnblogs.com/sparkbj/p/7161669.html
确定挖矿程序的路径以后,先kill掉进程,再删除文件
#kill -9 555
#rm -rf /tmp/wakuang.sh
2、清理定时任务
一般只进行上述的操作是很难清理干净,本文的情况是病毒已在定时任务里写好了自动执行脚本
会自动检查进程是否存活,不存在则自动下载
进入crontab目录
#cd /etc/cron.d/
#ll
total 508
-rw-r–r--. 1 root root 128 Aug 3 2017 0hourly
-rw-r–r-- 1 root root 508569 Aug 15 16:15 root
-rw------- 1 root root 235 Aug 3 2017 sysstat
#rm -rf root
清除所有定时任务(前提是之前没有加过任何定时任务)
#crontab -r
3、清理SSH公钥
#cd /root/.ssh/
#ll
总用量 8
-rw------- 1 root root 395 8月 14 10:54 authorized_keys
-rw-r–r-- 1 root root 348 12月 6 2018 known_hosts
#cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC/cjOtK8LAcIPBchQkU/qKSGbe7A9MTvrwqBc6trso6UMBpeTWY8loM1082h4HZ4daNJ1S8yB57PtOHSUwG//SD5ahYfOTOInQpU5p7mnczql9UPXO68VXukBpbmjueEwVtXXFnd/9kZzqBroS9zMakKh53URPoKus4d/V7Ct5ecPSo2WDRJDLbewE9ojb+v4R8C4xartjNLsyUXRwqgk1B6LK8JKIWUU55+LoaecFTBoBil+DP2Wxl2RhFaGCHItInwPgmtigYcOH/zMePw+aiXsYMbSzNtQswh3E0h7bpxq7hgilFTglfmrZybF45enkjwr9cfsWpkQ6NQ1nONA9 root@doclever
#rm -rf authorized_keys
以上是所做的操作,具体效果要观察一段时间,如有更好的操作欢迎探讨!
2019-08-15