记一次挖矿病毒处置
记一次挖矿病毒处置
CPU一直飙高,但是查看top命令,没有查到使用CPU很高的进程,挖矿病毒pid被隐藏了。
需要先显示隐藏的挖矿进程pid,打开文件/etc/ld.so.pedload,发现此文件加载了能够隐藏pid的so文件
删除此文件内的所有内容后,挖矿进程能正常显示
lsof -p 15126 进入到可疑的执行文件路径
Cd进入对应的文件夹
删除该两个文件。发现该目录文件删除后又会产生,这里将可执行文件的权限设为000,使其无法执行
chmod 000 -R x86_64.zip
chattr +i -R x86_64.zip
chmod 000 -R x86_64
chattr +i -R x86_64
删除挖矿病毒全部的定时任务:
crontab -l 查看定时任务
crontab -r 删除定时任务
定时任务删除完毕:
kill -9 15126 kill进程
挖矿病毒解决,系统CPU恢复正常