发现过程
ps命令查看该进程详情(xx代表进程编号PID)
ps -ef | grep xx
发现在/tmp/j, cd 到该目录下
查看当前用户计划任务,因为挖矿病毒一般会定时启动
crontab -l
如果以上均为查到病毒进程脚本的存储位置,继续执行systemctl命令查看进程详情(xx代表进程名称)
systemctl status xx
systemctl status xx
上shodan查一下IP地址
ip 地址:139.99.124.170
服务器上发现的连接到的是80端口,钟馗之眼显示,这是一个HTTP服务的端口,直接访问返回的信息如下:
将文件intelshell其上传到virustotal
确实是挖矿程序
公私钥免密登录方式入侵
方式1:把添加的公钥删除
方式2:删除该文件
cat .ssh/authorized_keys
如果有authorized_keys文件中的公钥请及时清理,或者删除该文件
当使用rm删除文件和文件夹的时候提示:rm: 无法删除"bash": 不允许的操作
解决方法:
1、查看文件属性
lsattr filetodel<br>----ia-------e- filetodel
可以看到此文件有-i 和-a属性,此时我们只要将此属性删除掉即可
通过命令 chattr,可以设置文件/文件夹的隐藏属性,来保证文件/文件夹的安全.其中比较重要的参数为i和a.这两个属性只有root用户才可以设置或清除.而通过命令 lsattr 可以查看这些属性.
2、删除属性:
chattr -i authorized_keys2
chattr -a authorized_keys2
chattr -u authorized_keys2
再次删除该文件,即可正常删除了
删除定时文件
删除/tmp/j下的定时文件(注意:需要对所有服务器的都要进行清除)
crontab -r
删除病毒执行脚本
一般情况下黑客会给执行脚本添加导致无法删除,此时执行以下lsattr命令查看文件属性(xx代表病毒脚本文件名称)
rm -f /tmp/j/run
rm -f tmp/j/1
rm -f tmp/j/intelshell
添加hosts防止二次下载:
echo -e "\n139.99.124.170" >> /etc/hosts
关闭进程
kill -9 194210
重启服务器
reference
linux常见挖矿病毒清理教程
记一次Linux木马清除过程
Linux挖矿病毒的清除与分析
急死!CPU被挖矿了,却找不到哪个进程!
CPU被挖矿排查方案
linux实战清理挖矿病毒kthreaddi
挖矿病毒的发现与查杀
Kthrotlds挖矿病毒详细分析报告
一次Linux挖矿病毒(tor2web)的处理过程
3589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
