Linux下清除挖矿病毒

登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。

执行top命令,显示 kswapd0 的CPU占用异常。基本100%占用。记下该进程ID 5081

执行查找命令 find / -name kswapd0

显示查找结果:

/proc/3316/.X2c4-unix/.rsync/a/kswapd0

/root/.configrc5/a/kswapd0

/tmp/.X2c4-unix/.rsync/a/kswapd0

用 rm -rf 命令逐条删除。

杀掉进行 kill -9 5081

查看服务器的任务计划 crontab -e

回显:

5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1

@reboot /root/.configrc5/a/upd>/dev/null 2>&1

5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1

@reboot /root/.configrc5/b/sync>/dev/null 2>&1

0 0 */3 * * /tmp/.X2c4-unix/.rsync/c/aptitude>/dev/null 2>&1

这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空

再按":"后,出现提示符":" ,输入wq 然后回车保存。

最后修改服务器密码。

附上另外一个很常见的挖矿木马

相关推荐
鸡鸭扣1 小时前
Docker:3、在VSCode上安装并运行python程序或JavaScript程序
运维·vscode·python·docker·容器·js
A ?Charis2 小时前
k8s-对接NFS存储
linux·服务器·kubernetes
人工干智能4 小时前
科普:“Docker Desktop”和“Docker”以及“WSL”
运维·docker·容器
落笔画忧愁e4 小时前
FastGPT及大模型API(Docker)私有化部署指南
运维·docker·容器
前端郭德纲4 小时前
前端自动化部署的极简方案
运维·前端·自动化
DC_BLOG5 小时前
Linux-GlusterFS进阶配置
linux·运维·服务器
Blasit5 小时前
C++ Qt建立一个HTTP服务器
服务器·开发语言·c++·qt·http
我们的五年5 小时前
MAC地址是如何在局域网中工作的?
linux
浮华落定7 小时前
Centos开机自启动
linux·运维·centos
去看日出7 小时前
CentOS 7 企业级Redis 7部署指南
linux·redis·centos