云服务器ECS挖矿木马病毒处理和解决方案
最近由于网络环境安全意识低的原因,导致一些云服务器ECS中了挖矿病毒的坑。
总结了一些解决挖矿病毒的一些思路。由于病毒更新速度快仅供参考。
1、查看cpu爆满的进程
cpu占用率 100%, 用top 查看cpu100
2、杀死进程
kill -9 pid
杀死进程后,过一分钟该进程又起来了
或者
删掉此进程 cpu还是 100%
3、估计是进程被隐藏了或者有守护进程 直接杀死不生效。
4、定时任务多了一个执行任务
crontab -l 发现有定时任务:
5、 打开定时任务链接获取如下内容
6、打开链接获取Base64字符串
7、用Base64解码此内容得到如下脚本内容
8、根据此脚本最终解决方案
A:先把定时任务删除掉
rm -rf /etc/cron.d/root
rm -rf /var/spool/cron/crontabs
rm -rf /bin/sh /var/spool/cron/root
B:删掉重启系统后执行脚本
rm -rf /bin/httpdns
C:删掉挖矿执行脚本
rm -rf /tmp/kworkerds
D: 删除修top显示命令的脚本 (导致top查询不处理此挖矿进程)
rm -rf /usr/local/lib/libntp.so
E:删除python执行文件
rm -rf /tmp/.tmpa
F: 再用Top命令,就可以找出此耗cpu进程
kill 掉此进程
9、修改redis 密码,最好修改bind 为127.0.0.1 Redis密码一定要设置并且负责一些
最后实在不行: 换一个服务器吧,为了安全性。