zigw挖矿病毒查杀

最近网站突然卡得无法访问。然后重启nginx和mysql,重启服务器。访问瞬间快了。但是好景不长，一会儿又是502了。这个就郁闷了。感觉也不像是网络问题，毕竟几M不存在打不开的问题。

然后发现重启的时候mysql关闭和启动慢。感觉根本原因是在mysql。修改了配置，增大了mysql的缓存 。然后发现尼玛玛的，mysql的二进制日志很多，而且都是一个G一个G的。就把他们删掉，类似mysql.bin.00001这些，连.index这个一起删掉。把二进制日志生成的配置关闭。重启。爽啊，结果一会儿又慢了。这下就迷茫了，兄弟已经准备好了重装环境再不行就重装系统的准备了。结果让朋友帮看，我去别人一个top命令，看一下:

奶奶的，这是个什么鬼，把cpu给我耗完了。我之前一直想着去看内存被占用了，没想到问题出在cpu上。这个挖矿病毒。找到问题就好。下面是转的别人的，我是照着做的。

原文:

https://blog.csdn.net/sayWhat_sayHello/article/details/83988443

其他参考:

参考文章：https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270
这个讲了这个病毒，但是没有说一个具体的解决方案。

https://yq.aliyun.com/articles/657476 这个讲了怎么解决但是还是会复发。
--------------------- 
作者：sayWhat_sayHello 
来源：CSDN 
原文：https://blog.csdn.net/sayWhat_sayHello/article/details/83988443 
版权声明：本文为博主原创文章，转载请附上博文链接！

以上是参考的，大同小异。再说说我照原文处理的时候遇到的一些问题.首先是/var/spool/cron下面的两个文件。我要清空里面病毒加的内容，但是始终提示我没权限。我去，我是root好不好，centos里的上帝，尼玛。继续百度，下面这种方式:

rm: cannot remove `/etc/zigw': Operation not permitted
2018年10月30日 16:08:35 diannao720 阅读数：696
chattr是用来更改文件属性

lsattr可用来查看文件的属性

执行命令lsattr /etc/xxx可以看到当前文件的属性；

 有i属性的文件是不能修改，有a的文件是隐藏文件也不能删除

去除i属性：chattr -i /etc/xxx

添加i属性：chattr +i /etc/xxx

 

去除a属性： chattr -a xxx

添加a属性： chattr +a xxx

然后再去编辑删除。搞定.最后把这个烂挖矿的进程杀掉。ok.

不过上面说了，根源是在redis上。说到底就是你用root启动redis,然后被人通过redis钻了漏洞。好像基本上就有了root权限。尼玛，不然怎么改了我的crontab里的内容。

所以根源在处理redis.

我比较狠，怕之前的redis里还有什么病毒脚本。直接remove掉。把之前的redis文件夹也删除掉。然后重新安装。

然后去修改redis端口，还有，设成本机访问。再创建一个低级用户。把redis.conf拷到/home/用户目录里。然后切换到低级用户。也就是说不要用root来启动redis.

  命令 redis-server /home/用户目录/redis.conf带配置启动。当然用户要有redis的相应权限， 给redis配个密码当然最好。

参考下面:

一个合作伙伴告知redis之前出过一个漏洞，攻击者可藉此漏洞获取系统root权限。所以我要用root权限之外的账户启动redis：

1、以root身份正常安装redis

2、切换非root用户登入系统，比如redisuser

3、用redisuser用户身份复制redis默认配置文件到redisuser的根目录/home/redisuser/：
cp /user/redis-3.2.5/redis.conf /home/redisuser/

5、修改配置文件中redis运行使用到的相关文件和目录的路径
把 pidfile /var/run/redis_6379.pid
修改成为 pidfile /home/redisuser/run/redis_6379.pid

6、在redisuser用户根目录下创建这个文件和目录
mkdir /home/redisuser/run

7、启动redis【注意：一定要在redisuser的根目录下（/home/redisuser）执行启动命令，否则无法启动】
redis-server /home/redisuser/redis.conf
--------------------- 
作者：病毒宇宇 
来源：CSDN 
原文：https://blog.csdn.net/ziele_008/article/details/83058945 
版权声明：本文为博主原创文章，转载请附上博文链接！

这个低级用户要有redis相关权限。比如下面:

[ newredis]# vi log/redis/redis.log

31640:C 29 Dec 18:03:14.462 # Can't chdir to '/var/lib/redis': Permission denied
31686:C 29 Dec 18:03:52.948 # Can't chdir to '/var/lib/redis': Permission denied
去把这个权限给他，还有配置里指定的相关日志都给。再启动就好了。