求助，centos7服务器中了挖矿病毒

lhpj · 发表于 2023-10-13 14:25

找不到CPU占用，但是网管发现会访问挖矿IP，就直接把我们外网封了

dukeimp · 发表于 2023-10-13 18:02

先更具外联的矿池IP地址，排查是那个进程，再去搜索进程所在的目录，删除病毒文件，再查看一下计划任务里面可能有病毒自动运行的脚本也删除，再排查系统有没有创建其他用户等信息，最后再排查业务系统是否有漏洞，有尽快修复，不然后期会持续有挖矿病毒。

rhci · 发表于 2023-10-13 15:49

重做吧，最好的方法，另外啥时候了，还在用centos7,换一个吧。

ytw6176 · 发表于 2023-10-13 16:17

重做，几个项目源码要检查一遍有没有后门

zesi111 · 发表于 2023-10-13 16:26

一个个项目检查源代码，工作量有些大，难搞。。。

aa123dami · 发表于 2023-10-13 16:43

虽然centos7是公认的，普通人群最好用的，但，中了挖矿病毒，还是重做吧

15126819695 · 发表于 2023-10-13 16:50

网管直接把IP路由ban了不就行了。。。然后你再一个一个排查看吧

kof8855 · 发表于 2023-10-13 17:52

既然知道访问的IP，那就直接查是哪个进程在访问这个IP就行了。找到进程再找到目录删掉

ceciliaaii · 发表于 2023-10-13 22:15

是不是挖矿叠加了rootit，把进程啥的全藏起来了

dalizi · 发表于 2023-10-16 17:29

找一下专业的公司处理呗，例如微步在线、qax、360啥的

帐号		自动登录	找回密码
密码			注册[Register]