挖矿病毒入侵解决方式"/>
Linux 被挖矿病毒入侵解决方式
前段时间突然发现cpu一直飙满100%使用率,但是查看自己服务却没有发现占用,流量也在不断增加。尝试了以下几种处理方式:
1、重启n次服务器尝试,无果。
2、网上搜索,无果。
3、阿里服务器提交工单,售后工程师反馈太慢了..... 无果
4、使用top命令无法找出占满cpu的进程,无果
5、下载yum install htop ,去检测,惊奇发现矿机病毒进程 crypto,我通过占用进程的这个路径去/usr/share/搜索,果然发现几个文件,执行rm -rf 删除crypto 和scan等文件,在使用命令whereis pnscan,获取到路径,通过路径去删除pnscan文件。
最后在杀掉进程kill -9 pid
6、处理黑客留下的后门,cd /root/ssh/,发现留有两个免登录的ssh文件,修改日期也是在cpu爆满的那天,更加肯定是人为之的。
执行rm -rf 删除不掉,因为被授予了权限此时的权限是600,需要使用 chattr 命令:
#查看文件属性
lsattr authorized_keys
# 去除a属性
chattr -a authorized_keys
# 去除i属性
chattr -i authorized_keys
# 去除e属性
chattr -e authorized_keys
7、执行rm -rf 删除ssh完成。
附上图:
处理前,cpu一直100%使用率:
进程占用情况:
处理后:
更多推荐
Linux 被挖矿病毒入侵解决方式
发布评论