作者分享了在Linux服务器上发现并移除挖矿程序的过程,包括检查CPU占用、追踪进程、删除恶意文件、禁用自启动服务和调整crontab设置,以及如何处理权限问题。
起因
我今天登录我们的Linux服务器发现巨慢,输入命令都出现了输入卡顿,或者版本不出输入文本语句。因为前两天刚刷抖音刷到了服务器感染了挖矿程序导致服务器cpu被占满了导致服务器运行速度非常满,因此我也查看了当前服务器的cpu运行情况,不看不知道,一看吓一跳。
使用top命令查看cpu占用情况
top
卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径
ps -aux|grep xmirg
也可以直接查询当前文件
find / -name xmrig
根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。
如果是单独的文件的话,删除了然后kill掉这个进程
kill - 9 pid
你以为这就完了吗?当然没有,我们还要查看有没有自启动这个程序的,
systemctl list-unit-files --type=service | grep enabled
查看xmirg是否设置了自启动,如果有的话就关闭自启动
systemctl disable 服务名
这里就完了吗?当然没有,我发现还有一个地方有自启动,那就是在crontab这个命令定时执行shell脚本里面查看到了也有自启动,然后我直接通过编辑命令删除掉了对应的自启动的哪一行,然后其实用户权限不足,然后我提权到root,然后再去删除,然后他居然提示== Operation not permitted==,WTF,居然提示我不允许操作,我是root账户啊,大哥,然后我就只能面向百度编程了嘛,程序员嘛,要随时借用其他工具方便我们开发,然后通过
解决不允许操作的链接
我是通过这个链接地址知道了的,就是通过
lsattr 文件名
查看到当前文件被加入了什么命令,然后通过
chatter -命令 文件名
删除到对应的权限,然后进行修改crontab文件中的哪一行就可以了,如果还不行的话,你就根据这个文章中的内容逐步排查修改。
到这里就完成了一次xmirg挖矿程序的记录了。你要问我为什么没有贴图出来,因为我也是解决完了才想着记录一次的,反正大致流程我是这么处理的。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
