linux 解决挖矿病毒的方法

linux 解决挖矿病毒的方法

一 挖矿病毒一:

1 现象:

病毒进程占用cpu特别高(%700左右), kill命令杀了之后,马上又变个名字启动起来

2 原理:

在etc/systemd/system写了services, 启动进程1, 进程1启动进程2, 进程2占用cpu比较高

3 解决方式:

1 通过 top 查询占用进程高的pid

2 通过 ps -ef 查询进程的父进程,最终定位到具体进程的执行程序

3 删除执行程序

4 在etc/systemd/system目录,删除病毒的 .services 文件

4 遇到的问题:

1 找到病毒执行程序,但删除不掉

原因:文件有不可变属性

修改属性:sudo chattr -i 文件名

5 本次病毒处理详情:

1 执行程序在:/usr/bin/system 目录

2 我把进程给放到 /usr/bin/system/bak 目录了

3 kill 病毒进程

4 病毒在 etc/systemd/system目录写了一个system.services做自动重启, 我给删除了

二 挖矿病毒二:

1 现象:

病毒进程占用cpu特别高(%700左右), kill命令杀了之后, 没有自动重启, 但虚拟机重启后,病毒又自动启动起来了

解决问题难点:

通过进程id定位执行程序位置

2 解决方式:

1 查询病毒进程的ID

2 通过 systemctl status PID 命令, 查询进程启动流程

3 直接定位到病毒对的具体位置

4 删除执行程序 和 相关.service

举例分析:

root@localhost \~# systemctl status 1264

鈼dev_0e9e8d12.service - Server Service

Loaded: loaded (/usr/lib/systemd/system/dev_0e9e8d12.service; enabled; vendor preset: disabled)

Active: activating (auto-restart) since 浜2025-07-01 06:11:37 EDT; 9min ago

Process: 1058 ExecStart=/etc/security/dev_/dev_f4c9a0d5 (code=exited, status=0/SUCCESS)

Main PID: 1058 (code=exited, status=0/SUCCESS)

CGroup: /system.slice/dev_0e9e8d12.service

鈹斺攢1264 /1c367036

定位到:/usr/lib/systemd/system/dev_0e9e8d12.service

定位到:/etc/security/dev_/dev_f4c9a0d5

删除/usr/lib/systemd/system/dev_0e9e8d12.service、 /etc/security/dev_/dev_f4c9a0d5 以及dev_f4c9a0d5同目录的配置文件

相关推荐
隔壁阿布都2 分钟前
ClickHouse完整指南
服务器·数据库·clickhouse
她叫我大水龙9 分钟前
nginx 编译指南:静态编译 + 动态编译
运维·nginx
元岳数字人小元13 分钟前
数字人系统源码:决定一体机长期运维稳定性的核心因素
运维·开源·人机交互·交互·源代码管理
田里的水稻20 分钟前
EP_局域网传输音视频的主流方案
运维·人工智能·机器人·音视频
运维大师43 分钟前
【Linux运维极简教程】11-防火墙与安全加固
运维·安全
hehelm1 小时前
AI 大模型接入 SDK —项目概述
linux·服务器·网络·数据库·c++
mounter6251 小时前
跨越鸿沟:从内核驱动开发到超大规模云端生产环境的思考
linux·驱动开发·linux kernel·kernel
Faith_xzc1 小时前
Apache Doris 元数据运维深度解析:从架构原理到故障实战
大数据·运维·doris
kdxiaojie2 小时前
Linux 驱动研究 —— V4L2 (3)
linux·运维·笔记·学习
facaixxx20242 小时前
雨云游戏服务器MCSM面板指南:低延迟BGP线路(一键开服)
运维·服务器·游戏