记录一次清除centos服务器矿机病毒的方法
昨晚朋友发现自己公司服务器内存以及CPU占用过高,于是向我求助,我的排查以及解决办法如下:1.使用FinalShell软件连接上服务器,查找占用资源的进程(点击左边的进程名字就能跟win系统一样弹出资源管理器界面)发现一个名为“master”的shell脚本一直占用大量CPU。
2.根据进程管理定位到该脚本在 /etc目录下,此脚本名字就非常可疑,由于无法确定,于是我将其下载到本地想进一步分析,刚下载完成就被火绒无情的干掉了
3.恢复并添加到白名单后,打开是UPX加密的shell脚本,由于深夜了就没有深入分析,于是果断终止此进程(成功),尝试rm -rf删除此脚本(失败,提示无法删除)
4.根据经验应该是被加了 i 属性,使用lsattr命令查看果然是加来i属性
5.知道无法删除的原因后就好办了,使用chattr -i 命令,去除i属性后rm成功删除
6.希望能帮到遇到同样遭遇的朋友
Kimi1230 发表于 2021-5-1 23:15
自动生成 这文件 怎么搞 SSLLibrary.ddl C盘有多少吃多少删了又自动生成{ ...
本机的话最简单粗暴的方法就是重装系统 我这是朋友公司的linux服务器 有很多重要数据 hackxl 发表于 2021-5-2 00:14
本机的话最简单粗暴的方法就是重装系统 我这是朋友公司的linux服务器 有很多重要数据
我也是服务器+其他子机不知道哪个软件带来 重装也不得 今早起床马上打开电脑,破解了upx,不出所料还有一层shc加密,一并破解后果然是矿机病毒
破解方法就不说了,百度很多很多教程,懒得打字了 谢谢分享,我遇到过,不过火绒直接杀掉了。 感谢分享 目前的旧机器还没有遇到过 飘动的云 发表于 2021-5-1 16:46
感谢分享 目前的旧机器还没有遇到过
我自己的机器也没遇到过 感谢分享,服务器2年多没遇到任何问题,安全要做好 这种病毒占这么大进程干啥?挖矿的? StuFish 发表于 2021-5-1 18:28
这种病毒占这么大进程干啥?挖矿的?
嗯 矿机病毒 这种东西很讨厌,CPU占用 挖矿带动周边产业火热。