记录两次linux中病毒

top命令看到两个进程cpu使用率高达798%，分别是

kswapd0  --myftp用户

kswapd0  --123用户

一查之下，发现kswapd0是挖矿病毒，

删除用户，杀死进程，然后就好了。

 

另一次一个进程cpu占用400%，

sshc --root用户

杀死进程后不久就重启，

最后发现用户目录下的计划任务里有blacknm的任务，每分钟一次，

删除计划任务，再杀死进程就好了。

 

以前windows中勒索病毒，还好其中没啥重要资料，直接重装系统了事。

 

 

一次中病毒发现云主机中多了个init.sh与zzh文件，crontab也被锁定了，计划任务里是一个病毒代码

先卸载wget，本来想卸载curl，发现其绑定了一个kernl包，暂不卸载，后台有一个莫名其妙的sshd任务，转console控制台直接先把sshd服务停了

全机遍历，找加锁文件，一个个对照。。。

find /etc -type f|xargs -i lsattr {}|grep -E '\-\-ia\-\-|\-\-i\-\-|\-\-ie\-\-|\-\-a\-\-|\-\-e\-\-' 2>/dev/null

find / -type f|grep -i hack 2>/dev/null

这次自己先给文件加锁

chattr +iae /etc/crontab
chattr +iae /var/spool/cron/root

 

 

lsattr发现文件加锁：iae