记一次pwnrige挖矿病毒

# 今天一个客户反应他的网站很慢，
# 于是登陆他服务器发现cpu被拉满，
# 可能就是中了挖矿的毒

# 先是通过 top 查看，发现可疑进程 -bash 
# 但是进程都生命周期很短暂，
# 基本是刚看清pid ，进程就结束了

# 然后就决定先修改一下ssh端口，为ssh登陆安全加固，
# 把默认的22端口屏蔽, 
vim /etc/ssh/sshd_config
# 找到 Port 22 ，在这一行前面加一个 #注释掉，
# 在下面一行写上修改后的端口号
Port {port}

# 保存退出后 重启ssh服务 
service sshd restart

# 接着查看了 ~/.ssh/ 目录下，发现一个可疑文件 ruckusapd 
# 把这个文件删除

# 这时发现 top 命令，显示的 -bash 可疑进程一直在运行了, 看到了进程号 
# 通过进程ID查看进程状态 (详情查看下面截图)
systemctl  status PID

# 找到了这个进程的载入文件
/etc/systemd/system/pwnrige.service
# 也发现为什么那个可疑进程运行完就被删除的原因
# ExecStart=/bin/bash -c cp -f -r -- /bin/sysdr /bin/-bash 2>/dev/null && /bin/-bash -c  >/dev/null 2>&1 && rm -rf -- /bin/-bash 2>/dev/null
# 找到病毒文件并删除， 
rm -rf /bin/sysdr 
# 停止并删除相关服务 
service stop pwnrige
rm -rf /etc/systemd/system/pwnrige.service
# 杀掉病毒进程
kill -9 PID