linux 解决挖矿病毒的方法
一 挖矿病毒一:
1 现象:
病毒进程占用cpu特别高(%700左右), kill命令杀了之后,马上又变个名字启动起来
2 原理:
在etc/systemd/system写了services, 启动进程1, 进程1启动进程2, 进程2占用cpu比较高
3 解决方式:
1 通过 top 查询占用进程高的pid
2 通过 ps -ef 查询进程的父进程,最终定位到具体进程的执行程序
3 删除执行程序
4 在etc/systemd/system目录,删除病毒的 .services 文件
4 遇到的问题:
1 找到病毒执行程序,但删除不掉
原因:文件有不可变属性
修改属性:sudo chattr -i 文件名
5 本次病毒处理详情:
1 执行程序在:/usr/bin/system 目录
2 我把进程给放到 /usr/bin/system/bak 目录了
3 kill 病毒进程
4 病毒在 etc/systemd/system目录写了一个system.services做自动重启, 我给删除了
二 挖矿病毒二:
1 现象:
病毒进程占用cpu特别高(%700左右), kill命令杀了之后, 没有自动重启, 但虚拟机重启后,病毒又自动启动起来了
解决问题难点:
通过进程id定位执行程序位置
2 解决方式:
1 查询病毒进程的ID
2 通过 systemctl status PID 命令, 查询进程启动流程
3 直接定位到病毒对的具体位置
4 删除执行程序 和 相关.service
举例分析:
root@localhost \~\]# systemctl status 1264 鈼dev_0e9e8d12.service - Server Service Loaded: loaded (/usr/lib/systemd/system/dev_0e9e8d12.service; enabled; vendor preset: disabled) Active: activating (auto-restart) since 浜2025-07-01 06:11:37 EDT; 9min ago Process: 1058 ExecStart=/etc/security/dev_/dev_f4c9a0d5 (code=exited, status=0/SUCCESS) Main PID: 1058 (code=exited, status=0/SUCCESS) CGroup: /system.slice/dev_0e9e8d12.service 鈹斺攢1264 /1c367036 定位到:/usr/lib/systemd/system/dev_0e9e8d12.service 定位到:/etc/security/dev_/dev_f4c9a0d5 删除/usr/lib/systemd/system/dev_0e9e8d12.service、 /etc/security/dev_/dev_f4c9a0d5 以及dev_f4c9a0d5同目录的配置文件