- 通常情况下挖矿程序攻击后导致CPU飙升至80%以上,阿里云cpu监控占比,或者通过命令查看占比
- 使用top看看cpu占用率,发现sysupdate或networkservice对服务器CPU大量占用的情况
3. 进入proc查看 cd /proc/$PID/ ls -ail进程文件linux目录 发现进程在/etc目录下
4.进入etc目录下,到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了
5.打开update.sh文件,发现存在定时任务,根据目录删除其定时任务及目标
6.杀掉进程 删除文件
首先杀进程,kill -9 {进程号},然后删除文件
直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常删除。
同理删除networkservice、sysguard、update.sh、config.json
7.如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要
7.1修复SELinux
病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。
7.2wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来
8.如果存在防火墙可能需要修改防火墙配置策略(查看是否开启了异常端口或者关闭了正常端口,通常情况下回开启异常端口)