文章描述了一位用户处理被植入挖矿程序的1核2g服务器的过程,包括查看和删除定时任务、恢复系统命令、杀死恶意进程以及清理SSH密钥。
前言
今天正在快乐的打着游戏,突然一个浙江的电话:
好家伙,我那可怜的1核2g的服务器说在跑挖矿程序,苍天啊,大地呀,我那1核2g的服务器有啥跑呢,别难为这小家伙了。
解决过程:
1:查看定时任务:
crontab -l //列出定时任务
网上说这是门罗币的定时任务
这里大概率是直接删除不了的,因为病毒给你添加了不可修改的权限:
| 属性名 | Value |
|---|---|
| a | 让文件或目录仅供附加用途 |
| b | 不更新文件或目录的最后存取时间 |
| c | 将文件或目录压缩后存放 |
| d | 将文件或目录排除在倾倒操作之外 |
| i | 不得任意更动文件或目录 |
| s | 保密性删除文件或目录 |
| S | 即时更新文件或目录 |
| u | 预防意外删除 |
lsattr+文件名
查看文件权限 全删了即可
chattr -ie(权限符) 文件名
没法直接删除定时任务,这时候需要chattr修改目录,但是执行的chattr -i xxx的时候,提示chattr: command not found。
咱就是说把chattr文件删除了对吧,改完权限后把你的改权限的工具给扔了,
然后呢,我们需要把工具给找回来。
这是一个github连接
chattr文件地址
把这个c语言文件编译后的out文件改名chattr放任bin文件目录就行了,如果有权限问题,运行不了chattr可以参考这个博客:解决chattr编译后因权限没法正常使用问题
然后使用
cd var spool
chattr -ia root
chattr -ia cron
把定时任务所在的目录的权限去掉:
没有用的定时任务直接把root文件夹删掉即可
rm -rf root
/**
删掉root文件夹即可
**/
删除定时任务成功
2:查找病毒进程:
你会贴心发现top里面什么鸟都没有
因为病毒已经贴心的把ps核top都给你替换了:
top.lanigiro //原top命令,找到pid
ps.lanigiro -ef | grep xxx//原ps命令,找到程序文件路径
然后记得把top和ps改回来。
mv /bin/top.lanigiro /bin/top
//改回来top
mv /bin/ps.lanigiro /bin/ps
改回来ps
如果改不了记得chattr清除一下权限
kill下699的进程(挖矿进程)
清除完程序后我们杀一下进程。
3:清除后门密匙:
在.ssh中把不是你添加的密匙删掉即可
如若不会操作:密匙上传操作博客
扫一扫
751
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
