Linux挖矿病毒“sysupdate”处理清除与分析

Linux挖矿病毒“sysupdate”处理清除与分析

最近做一个诊疗仪器的项目，其中有一块是商城模块，又一个加入购物车的需求，就想用redis来做缓存，但是有一天我收到了一份来自阿里云的短信，上边说我的服务器收到了攻击，部份接口停止访问，我当时就很疑惑

---

问题描述：

系统总是被未知应用沾满，卡顿,我当时就是很疑惑到底是怎么回事，而且看这个占据绝大多数cpu的程序是系统数据更新的应用，就感到很离谱。

---

原因分析：

通过看了很多的博客，发现原来是redis的漏洞导致的病毒的入侵，既然知道了是病毒的入侵，下面就是要想办法清除病毒了。

---

解决方案：

首先关闭病毒进程sysupdate和networkservice

kill -9 pid

但是很快发现病毒进程重新出现了，原因是这个进程只是想当与矿机应用，如果不删除他的守护进程他还是会重新回来的。大家都知道etc是用来放系统管理所需要的配置文件的，在里面我门会发现一个update.sh的脚本，好奇的小伙伴可以打开来看看，这里我就不展开了。我告诉大家直接删除这个文件,除了这个文件，还需要删除的文件有

1. /etc/ sysupdate*
2. /etc/config.json*
3. /etc/update.sh*
4. /root/.ssh/authorized_keys*
5. /etc/networkservice
   当然上述文件无法直接删除，需要删除隐藏属性,然后再删除

chattr -i update.sh
rm -f update.sh

其他文件删除类似上文。当然这其中最重要的文件当然就是update.sh，因为这个脚本就是守护进程，他会把其他要删除的文件都下载回来。

命令汇总

命令	命令用途
ps -aux	查看系统进程
top	查看系统集成
rm -rf	删除