记一次仿真挖矿的"彻底"清除
发现
首先find / -mmin 2 查看一下两分钟的运行进程
我们发现back kthreads都有问题
我们依次来看
查看back文件如下 发现循环写入的文件 我们要找维持文件 我们接着找维持文件
查看kthreads文件 成功发现维持文件
打开crontab 发现了计划文件
我们再运行netstat -antp 找一下外连
这里我们成功发现外连ip 和程序
实操
我们先消灭远连程序
远连程序在/tmp/vmware-root_663-402224331x8/
就是bard程序
执行
rm /tmp/vmware-root_663-402224331 x8/*
消灭维持程序
rm /bin/kthreads
消灭计划文件
vim /etc/crontab
删除前
进去删除后两行,删除后
消除病毒文件
这里我们需要先kill掉父进程 6585
如图所以 后面6585变为了 1 说明已经杀掉了 父进程
杀完父进程 我们再kill子进程 12891 和 12938
最后一步
进去/usr/bin删除watchdogdd文件
kill远连程序
结果如下:
删除helloworld
最后 我们删除helloworld即可 所有删除结束