“服务器被植入挖矿病毒”如何解决

学校最近可能又被“谁”盯上了,大面积内出现服务器中挖矿病毒的现象,占用大量CPU资源,向境外发送数据占用大量学校带宽,第三次查杀解决后决定做一下记录

找到后先不要kill,不要kill,不要kill,如果想看看这是来自哪个美丽国家的亲切问候,可以使用 netstat  -natp,根据ip查看一下数据接收方地址,查看网址

  1. 查找下有无定时任务
    sudo crontab -l

    有的话就去对应目录下找找文件,看是否存在指向其他文件的软连接,要从根上删除文件,然后关闭定时任务

  2. 查看有无开机自启任务
    sudo cat /etc/rc.local

    把文件里的命令删除,根据文件给出的路径去查找,同样查看路径目录文件是否还存在软连接,要从根上删除软连接指向的文件

  3. 使用 htop 命令查看cpu高占用进程,记录下pid(以1006为例)
  4. 查看其是否有守护进程
     systemctl status 1006

    根据给出的守护进程pid(以1007为例)先把他kill

    kill -9 1007

    然后再把1006kill掉

  5. 如果遇到rm -rf无法删除文件的情况,查看文件是否被赋予了---ia---权限 
    lsattr  文件路径

    解除其ia权限命令

    chattr -ia  文件路径 

    然后再删除即可

  6. 有的病毒很恶心,把lsattr和chattr命令给你删了,这时候使用apt install重装一般是没用的,因为已经被做过手脚了,可以手动安装e2fsprogs(也叫e2fs programs),是一个Ext2(及Ext3/4)文件系统工具集(Ext2 Filesystems Utilities ),它包含了诸如创建、修复、配置、调试ext2文件系统等的标准工具。
  7. 源码下载
  8. 解压后,放在/usr/local文件夹下,在源码文件夹根目录下新建一个build文件夹
    1 mkdir build
    2 cd build 
    3 ../configure
    4 make
    5 make install
    然后输入lsattr应该就有此命令了
  9. 按上述步骤把该删除的都删了之后,重启服务器,发现还是有cpu高占用进程,再查看其是否还有守护进程,如果没有了,就反复把进程kill掉,重启服务器三四次,应该就好了
  10. 如果再不行,我也没遇到过了。。。
posted @ 2023-03-23 10:23  瓜大wjs  阅读(594)  评论(0编辑  收藏  举报