近期,公司内网linux环境出现了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。现摸索了以下步骤进行清除。
1、检测服务器是否有挖矿病毒。
使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。
2、输入systemctl status 病毒进程id
kill掉CGroup的进程id
3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且是自动启动病毒程序的问题
如有,则输入systemctl status tracepath的进程id,按照方法2删除掉进程
4、到/root文件夹,输入ll -a命令
删除掉上图中以.systemd开头的文件,这个文件就是挖矿的文件
5、crontab -e
删除掉启动挖矿病毒的定时任务
6、到/etc/cron.d文件夹下,删除以0system开头的文件
7、搜索所有以system-private命名的文件,搜出来之后均删除掉,可用命令find / -name '*systemd-private*' -exec rm -rf {} \;
8、执行命令 rm -rf /usr/bin/tracepath命令
9、执行命令rm -rf /tmp/.X11-unix,这个文件夹里的据推测是自动启动病毒文件的目录 (这一步非常重要)
10、分别执行chmod -Rv a-w /etc/cron.d和chmod -Rv a-wr /var/spool/cron/root,修改定时任务权限,以防再被修改
11、修改host文件vi /etc/hosts,最下方增加以下内容:
127.0.0.1 relay.tor2socks.in
127.0.0.1 checkip.amazonaws.com
127.0.0.1 cim8.f.dedikuoti.lt
127.0.0.1 ip.sb
127.0.0.1 hydra.plan9-ns1.com
127.0.0.1 dns.digitale-gesellschaft.ch
127.0.0.1 doh.li
127.0.0.1 doh.pub
127.0.0.1 fi.doh.dns.snopyta.org
127.0.0.1 resolver-eu.lelux.fi
127.0.0.1 dns.hostux.net
127.0.0.1 dns.twnic.tw
127.0.0.1 doh-fi.blahdns.com
12、有条件的话,设置ssh禁止root登陆、修改root的密码12、有条件的话,设置ssh禁止root登陆、修改root的密码,修改ssh的端口