雲服務器ECS挖礦木馬病毒處理和解決方案

雲服務器ECS挖礦木馬病毒處理和解決方案

最近因爲網絡環境安全意識低的緣由，致使一些雲服務器ECS中了挖礦病毒的坑。

總結了一些解決挖礦病毒的一些思路。因爲病毒更新速度快僅供參考。

一、查看cpu爆滿的進程

cpu佔用率 100%, 用top 查看cpu100

二、殺死進程

kill -9  pid  

殺死進程後，過一分鐘該進程又起來了

或者

刪掉此進程 cpu仍是 100%

三、估計是進程被隱藏了或者有守護進程 直接殺死不生效。

四、定時任務多了一個執行任務

crontab -l  發現有定時任務：

五、 打開定時任務連接獲取以下內容

六、打開連接獲取Base64字符串

七、用Base64解碼此內容獲得以下腳本內容

八、根據此腳本最終解決方案

A:先把定時任務刪除掉

rm -rf /etc/cron.d/root

rm -rf /var/spool/cron/crontabs

rm -rf /bin/sh /var/spool/cron/root

B:刪掉重啓系統後執行腳本

rm -rf /bin/httpdns

C：刪掉挖礦執行腳本

 rm -rf /tmp/kworkerds

D: 刪除修top顯示命令的腳本 （致使top查詢不處理此挖礦進程）

rm -rf /usr/local/lib/libntp.so

E:刪除python執行文件

rm -rf /tmp/.tmpa

 

F: 再用Top命令，就能夠找出此耗cpu進程

 kill 掉此進程

九、修改redis 密碼，最好修改bind 爲127.0.0.1 Redis密碼必定要設置而且負責一些

最後實在不行： 換一個服務器吧，爲了安全性。