雲服務器ECS挖礦木馬病毒處理和解決方案
最近由於網絡環境安全意識低的原因,導致一些雲服務器ECS中了挖礦病毒的坑。
總結了一些解決挖礦病毒的一些思路。由於病毒更新速度快僅供參考。
1、查看cpu爆滿的進程
cpu占用率 100%, 用top 查看cpu100
2、殺死進程
kill -9 pid
殺死進程后,過一分鍾該進程又起來了
或者
刪掉此進程 cpu還是 100%
3、估計是進程被隱藏了或者有守護進程 直接殺死不生效。
4、定時任務多了一個執行任務
crontab -l 發現有定時任務:
5、 打開定時任務鏈接獲取如下內容
6、打開鏈接獲取Base64字符串
7、用Base64解碼此內容得到如下腳本內容
8、根據此腳本最終解決方案
A:先把定時任務刪除掉
rm -rf /etc/cron.d/root
rm -rf /var/spool/cron/crontabs
rm -rf /bin/sh /var/spool/cron/root
B:刪掉重啟系統后執行腳本
rm -rf /bin/httpdns
C:刪掉挖礦執行腳本
rm -rf /tmp/kworkerds
D: 刪除修top顯示命令的腳本 (導致top查詢不處理此挖礦進程)
rm -rf /usr/local/lib/libntp.so
E:刪除python執行文件
rm -rf /tmp/.tmpa
F: 再用Top命令,就可以找出此耗cpu進程
kill 掉此進程
9、修改redis 密碼,最好修改bind 為127.0.0.1 Redis密碼一定要設置並且負責一些
最后實在不行: 換一個服務器吧,為了安全性。