centos7清理矿机木马qw3xT，kpgrbcc

腾讯云报告了root口令被暴力破解，并种了木马kpgrbcc

 

 

昨晚找到/usr/bin/

rm -rf kpgrbcc 删除

rm -rf kpgrbcb 删除

并ps -ef | grep kpg 确认了不存在，然后更换了root口令

然而并没有卵用，今天发现，还在。。。。。

查看监控，从种马开始，cpu使用几乎100%

使用top查看进程情况

 

原来是被当了矿机了

 -------------------------------------------------------------

知道是这玩意好办，有很多教程借鉴

1.开一个terminal，执行top命令，杀掉木马进程（1392，729，24689）：kill -9 1392

2.到木马报告的目录/usr/bin/，删掉木马文件 kpgrbcc：rm -rf kpgrbcc

3.查看是否有定时任务：crontab -l

果然发现定时任务：

执行 crontab -e,删除定时文件，保存退出（类似vi操作）

4.到临时目录去查看:cd /tmp 并且详细列出包括隐藏的文件 ls -al

果然有发现矿机文件qw3xT，以防万一，将tmp目录下的文件全部删除：rm -rf  *

发现不知名的文件无法删除

使用root都无法删除？有可能文件被保护了。用命令lsattr检查一下：

果然是，那么使用chattr 解除即可：

最后 rm -rf * 全部删除

 

继续监测cpu使用率，没有再爆满，应该是解决了

最好继续做好预防工作：

1.cd /var/log 去删除日志并使用history -c清除历史记录

2.cd ~/.ssh

这个是无密登录的钥匙，用于主机之间的无密通信，果断删掉

rm -rf authorized_keys

3.更换ssh口令passwd root

4.更换ssh端口，并重启ssh服务

 

 

 

 

 https://www.cnblogs.com/rwxwsblog/p/5756894.html

https://blog.csdn.net/lang363/article/details/82354830

https://blog.csdn.net/wuyongde_0922/article/details/72718821

https://blog.csdn.net/qq_22067469/article/details/84481886

 https://blog.csdn.net/zhangguoliang12309/article/details/79193006