“服务器被植入挖矿病毒”如何解决
学校最近可能又被“谁”盯上了,大面积内出现服务器中挖矿病毒的现象,占用大量CPU资源,向境外发送数据占用大量学校带宽,第三次查杀解决后决定做一下记录
找到后先不要kill,不要kill,不要kill,如果想看看这是来自哪个美丽国家的亲切问候,可以使用 netstat -natp,根据ip查看一下数据接收方地址,查看网址
- 查找下有无定时任务
sudo crontab -l
有的话就去对应目录下找找文件,看是否存在指向其他文件的软连接,要从根上删除文件,然后关闭定时任务
- 查看有无开机自启任务
sudo cat /etc/rc.local
把文件里的命令删除,根据文件给出的路径去查找,同样查看路径目录文件是否还存在软连接,要从根上删除软连接指向的文件
- 使用 htop 命令查看cpu高占用进程,记录下pid(以1006为例)
- 查看其是否有守护进程
systemctl status 1006
根据给出的守护进程pid(以1007为例)先把他kill
kill -9 1007
然后再把1006kill掉
- 如果遇到rm -rf无法删除文件的情况,查看文件是否被赋予了---ia---权限
lsattr 文件路径
解除其ia权限命令
chattr -ia 文件路径
然后再删除即可
- 有的病毒很恶心,把lsattr和chattr命令给你删了,这时候使用apt install重装一般是没用的,因为已经被做过手脚了,可以手动安装e2fsprogs(也叫e2fs programs),是一个Ext2(及Ext3/4)文件系统工具集(Ext2 Filesystems Utilities ),它包含了诸如创建、修复、配置、调试ext2文件系统等的标准工具。
- 源码下载
- 解压后,放在/usr/local文件夹下,在源码文件夹根目录下新建一个build文件夹
1 mkdir build 2 cd build 3 ../configure 4 make 5 make install
- 按上述步骤把该删除的都删了之后,重启服务器,发现还是有cpu高占用进程,再查看其是否还有守护进程,如果没有了,就反复把进程kill掉,重启服务器三四次,应该就好了
- 如果再不行,我也没遇到过了。。。