中病毒的经历 cpu 100 进程隐藏 挖矿病毒

病毒处理

感谢我领导康哥，给我时间让我解决这个问题。 

 

 

 

病毒进程查询： 因为病毒是个隐藏的病毒，top没办法找到进程，通过参考https://www.zhihu.com/question/59820313这篇问答，找出病毒程序

首先查询是否有这个连接：netstat -anp

 

46.3.115.72

在 Linux 操作系统的动态链接库加载过程中，动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容，

并将读取到的动态链接库进行预加载，即使程序不依赖这些动态链接库，LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载， 它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高，所以能够提前于用户调用的动态库载入。

——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》

并将读取到的动态链接库进行预加载，即使程序不依赖这些动态链接库，LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载， 通过 找到 下面内容，删除

删除 /usr/local/lib/libprocesshider.so Linux

# top

看到了进程

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
4183 root 15 -5 2486964 48580 8 S 394.7 0.3 4115:40 /usr/sbin/cpuhelp --log-file=/etc/etc --keepalive --no-color --cpu-priority 4 -o kidworry.top:33333 --tls -u ds -p tes3 --background
677 emqx 20 0 3113672 156208 9652 S 0.3 1.0 2:48.84 emqx -Bd -spp true -A 4 -IOt 4 -SDio 8 -e 262144 -zdbbl 8192 -Q 1048576 -P 2097152 -- -root /usr/lib/emqx -progname /usr/bin/emqx -- -home /var/lib/emqx -- -noshell -noshell+ 3847 root 20 0 160092 6520 4748 S 0.3 0.0 0:07.86 sshd: root@pts/0,pts/1
3972 root 20 0 165096 3332 1616 S 0.3 0.0 0:04.84 top
21073 root 20 0 162132 2388 1684 R 0.3 0.0 0:00.05 top -c
1 root 20 0 193216 4052 2624 S 0.0 0.0 0:07.83 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 [kthreadd]
4 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 [kworker/0:0H]
6 root 20 0 0 0 0 S 0.0 0.0 0:00.52 [ksoftirqd/0]

杀死进程

[root@server-1aea2e6c-e19c-40e7-8f64-1e94d2ee36b7 ~]# kill -9 4183 您在 /var/spool/mail/root 中有邮件

又 起来了

4489 root 15 -5 51256 8140 8 S 385.4 0.1 3:42.09 cpuhelp
5654 root 20 0 312304 38056 8076 R 10.3 0.2 0:00.31 python
27637 root 20 0 164176 2372 1616 S 0.7 0.0 1:38.68 top
3972 root 20 0 165096 3332 1616 S 0.3 0.0 0:06.28 top
1 root 20 0 193216 4052 2624 S 0.0 0.0 0:07.90 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
4 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H
6 root 20 0 0 0 0 S 0.0 0.0 0:00.53 ksoftirqd/0

给 677 也给禁用了

/usr/sbin/cpuhelp --log-file=/etc/etc --keepalive --no-color --cpu-priority 4 -o kidworry.top:33333 --tls -u ds -p tes3 --background

删除不了

移除 immutable 属性： bash sudo chattr -i /usr/sbin/cpuhelp 移除 append-only 属性（如果设置了）： bash sudo chattr -a /usr/sbin/cpuhelp 然后，你应该能够使用 rm 命令删除该文件：

bash sudo rm /usr/sbin/cpuhelp

 

 

# 

/usr/sbin/cpuhelp 

 

查看进程： 

netstat -anp可以查看到有进程在使用

 

删除不了

移除 immutable 属性：

bash

sudo chattr -i /usr/sbin/cpuhelp

移除 append-only 属性（如果设置了）：

bash

sudo chattr -a /usr/sbin/cpuhelp

然后，你应该能够使用 rm 命令删除该文件：

bash

sudo rm /usr/sbin/cpuhelp

chattr -a /usr/sbin/cpuhelp

chattr -i /usr/sbin/cpuhelp

sudo rm /usr/sbin/cpuhelp

lsof /usr/sbin/cpuhelp  //啥也没显示

chattr -a /cron

chattr -i /cron

sudo rm /cron

15069 root      15  -5   75400   7752      8 S 385.0  0.0   1:03.04 /usr/sbin/cpuhelp --log-file=/etc/etc --keepalive --no-color --cpu-priorit+

 7

cpuhelp，是一个病毒文件，我需要给他删掉，但是他的属性让我很难删除  ----ia-------e-- /usr/sbin/cpuhelp

[root@server-1aea2e6c-e19c-40e7-8f64-1e94d2ee36b7 ~]# sudo chmod 777 /usr/sbin/cpuhelp

chmod: 更改"/usr/sbin/cpuhelp" 的权限: 不允许的操作

[root@server-1aea2e6c-e19c-40e7-8f64-1e94d2ee36b7 ~]# sudo chmod u+w /usr/sbin/cpuhelp

chmod: 更改"/usr/sbin/cpuhelp" 的权限: 不允许的操作

检查文件属性：

首先，使用 lsattr 命令检查 cpuhelp 文件的属性。

bash

lsattr /usr/sbin/cpuhelp

如果输出中包含 i 属性，表示该文件已被设置为不可变，这意味着您不能修改或删除它。

修改文件属性：

如果文件具有 i 属性，您需要使用 chattr 命令将其移除。

bash

sudo chattr -i /usr/sbin/cpuhelp

这将移除不可变属性，允许您更改文件权限或删除文件。

删除文件：

一旦移除了不可变属性，您应该能够删除该文件。

bash

sudo rm /usr/sbin/cpuhelp