Ubuntu中出现大量SYN_SENT连接—work32病毒查杀

查看网络连接

# 查看网络连接及使用的端口
netstat -ant -p

我们可以看到服务器想很多陌生ip发送连接，都是通过这个work32进程。

查看进程

# 查看并过滤指定进程
ps -aux | grep work32

关闭进程，删除源文件

这里我们可以看到这个进程文件的路径，我们先将这个进程杀掉,然后进到这个进程目录删除文件即可。

kill -9 2963

删除定时任务

这个病毒还创建了定时任务，我们也将它干掉

# 查看定时任务
crontab -l

可以看到这个进程的定时任务，删除即可

# 编辑定时任务
crontab -e

后续可以取消SSH登录，使用密钥登录来加强安全性。

参考链接

linux 下的 work32 病毒查杀
Linux挖矿木马WorkMiner集中爆发，利用SSH暴力破解传播