记录又一次挖矿病毒来袭

各位小伙伴，今天又是一次因为tomat版本过低有漏洞，通过tomcat sql注入的挖矿病毒，这东西烦得很；

一大早刚来同事就跟我说服务器卡的要死，我心一惊，一想没准又是被黑，上去一看，果不其然，又中招了，防不胜防啊！

top看了一下，卧槽，果然又是这个鬼东西！

果断查找进程位置;

ll /proc/19778

根据以往经验，可能不全面，执行以下几步：

1.马上解锁降权

chattr -i /*

chmod 444 ./*

chmod -x ./*

2.改属主属组为普通用户的权限

chown -R 123.123 ./*

注：此123为服务器上的普通用户，各位同学可自行更改

3.干掉挖矿进程

kill -9 19778

4.干掉用户

userdel xsy

注：按照以往的套路，他们都会写个脚本，后端起一个进程无限启动，直接删用户是删不掉的，需要把后端执行程序权限下掉，然后kill后端进程后才能删除用户；

5.删除该用户家目录所有文件

rm -rf /home/xsy

6.查找/下所有xsy相关的文件及路径

find / -name xsy

然后删除

7.查看定时任务删除

crontab -l

8.更换root密码，升级Tomcat对应最新版本；

passwd root

两次输入密码；

停止tomcat应用，将新版tomcat下bin 和 lib 文件夹 cp到原tomcat安装路径下，原tomcat下的/bin/和lib备份或者删除；

不过这样有可能清理不干净，最直接粗暴的办法就是重做系统；

在此欢迎各位小伙伴提出意见和批评！！大家共勉！

        如果此篇文章对您有一点点帮助，那么此篇文章便有了他的意义！

谢谢！！