成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升

       本人的linux centos服务器被挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,服务器提供商说要重装系统,或者用原始正常镜像做恢复,这样会把原来的系统重新安装部署,这样下来又需要几天时间,测试维护,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。

     下面记录描述一下处理方法,如下:

首先:针对CPU过高,针对占用进程进行排查,查找可疑进程。

通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。

这样基本可以消除CPU占用过高的问题。

      再次 发现服务器被挖矿病毒入侵的内存占用过高,查看可疑进程,杀掉内存占用过高的进程,这里就不一一描述。

      针对crontab顽固脚本,进行处理。处理步骤如下:

1.安装busybox

#!/bin/bash #获取busybox安装包,也可以其他机器下载后离线上传到目标机器 wget http://busybox.net/downloads/busybox-1.21.0.tar.bz2 #需要bzip2,要是机器没有安装的话 yum -y install bzip2

tar -xvf busybox-1.21.0.tar.bz2 cd ./busybox-1.21.0 make defconfig #注意,这里最好在相同操作系统的正常机器上进行静态链接 #防止动态链接还被挖矿病毒的动态库劫持,导致删除文件不成功 #如果条件不允许,第二点将会重点说明 make make install

#ln -s `pwd`/busybox /usr/bin/busybox

#busybox|grep BusyBox |grep v

成功后,提示如下:

BusyBox v1.21.0 (2019-04-15 19:51:44 CST) multi-call binary.

2.注释相关脚本

#vim /etc/ld.so.preload

3.建立查杀脚本,如:killwakuang.sh

脚本文件 ../killwakang.sh
(注意要设置权限:#chmod u+x ./killwakang.sh
vi设置unix文件::set ff=unix)
重启服务器后,继续执行sh

      具体还有很多细节,中间可能会遇到各种各样的问题,可能环境不同,错误表现不同,需要针对性的解决,时间关系,不能细致描述,如有需要帮助支持,可以协助解决。

      本人经过实践验证已经成功解决了挖矿病毒问题。

如需本人协助技术支持,可以联系,18034263356

 

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云焰

你的鼓励是我创作的最大动力。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值