挖矿病毒排查并清除

近期，公司内网linux环境出现了挖矿病毒，该病毒占满cpu进行挖矿，导致系统缓慢。现摸索了以下步骤进行清除。

1、检测服务器是否有挖矿病毒。

使用top命令查看进程及占用cpu百分比，如果该进程名称为随机字符串，且cpu占的非常的高。则很可能是感染了挖矿病毒。

2、输入systemctl status 病毒进程id

kill掉CGroup的进程id

3、输入ps -ef|grep tracepath，查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且是自动启动病毒程序的问题

如有，则输入systemctl status tracepath的进程id，按照方法2删除掉进程

4、到/root文件夹，输入ll -a命令

删除掉上图中以.systemd开头的文件，这个文件就是挖矿的文件

5、crontab -e

删除掉启动挖矿病毒的定时任务

6、到/etc/cron.d文件夹下，删除以0system开头的文件

7、搜索所有以system-private命名的文件，搜出来之后均删除掉，可用命令find / -name '*systemd-private*' -exec rm -rf {} \;

8、执行命令 rm -rf /usr/bin/tracepath命令

9、执行命令rm -rf /tmp/.X11-unix，这个文件夹里的据推测是自动启动病毒文件的目录 （这一步非常重要）

10、分别执行chmod -Rv a-w /etc/cron.d和chmod -Rv a-wr /var/spool/cron/root，修改定时任务权限，以防再被修改

11、修改host文件vi /etc/hosts，最下方增加以下内容：

127.0.0.1 relay.tor2socks.in
127.0.0.1 checkip.amazonaws.com
127.0.0.1 cim8.f.dedikuoti.lt
127.0.0.1 ip.sb
127.0.0.1 hydra.plan9-ns1.com
127.0.0.1 dns.digitale-gesellschaft.ch
127.0.0.1 doh.li
127.0.0.1 doh.pub
127.0.0.1 fi.doh.dns.snopyta.org
127.0.0.1 resolver-eu.lelux.fi
127.0.0.1 dns.hostux.net
127.0.0.1 dns.twnic.tw
127.0.0.1 doh-fi.blahdns.com

12、有条件的话，设置ssh禁止root登陆、修改root的密码12、有条件的话，设置ssh禁止root登陆、修改root的密码，修改ssh的端口