挖矿木马清除

一、出现的现象：

   1.查看cpu一直处于跑满的状态。

    2.用top命令查看出现： 

      

   3.把进程杀死后还会重启，用crontab -l出现：

     

   4.启动的时候读这个文件  /var/tmp/wbtcskwch.conf,文件内容是：

     

二、处理办法：

   1.先通过iptables把地址加入黑名单：  

iptables -A INPUT -s 91.230.47.40 -j DROP
iptables -A OUTPUT -d 91.230.47.40 -j DROP
iptables -A INPUT -s 94.23.8.105 -j DROP
iptables -A OUTPUT -d 94.23.8.105 -j DROP
service iptables save 
service iptables restart

 

   2.把进程杀死及把关联文件删除。

ps -ef |grep polkitd
kill -9 6418
kill -9 6419
rm -f /var/tmp/wbtcskwch.conf

 

   3.把定时任务删除。