- 通常情況下挖礦程序攻擊后導致CPU飆升至80%以上,阿里雲cpu監控占比,或者通過命令查看占比
- 使用top看看cpu占用率,發現sysupdate或networkservice對服務器CPU大量占用的情況
3. 進入proc查看 cd /proc/$PID/ ls -ail進程文件linux目錄 發現進程在/etc目錄下
4.進入etc目錄下,到etc下,除了sysupdate、networkservice 同時還有sysguard、update.sh,除了update.sh其余的都是二進制文件,應該就是挖礦的主程序以及守護程序了
5.打開update.sh文件,發現存在定時任務,根據目錄刪除其定時任務及目標
6.殺掉進程 刪除文件
首先殺進程,kill -9 {進程號},然后刪除文件
直接刪除sysupdate你會發現無法刪除,因為一般病毒會使用chattr +i命令,我們使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常刪除。
同理刪除networkservice、sysguard、update.sh、config.json
7.如果你被攻破的是root用戶(或者被攻破的用戶權限較大),你可能還需要
7.1修復SELinux
病毒腳本首先就會嘗試關閉SELinux子系統,我們可以使用getenforce命令查看SELinux狀態。
如果你想要重新打開,可以修改/etc/selinux/config文件將SELINUX=disabled改為SELINUX=enforcing,然后重新啟動服務器。
7.2wget命令和curl命令會被改為wge和cur,這樣用着很變扭,改回來
8.如果存在防火牆可能需要修改防火牆配置策略(查看是否開啟了異常端口或者關閉了正常端口,通常情況下回開啟異常端口)