本人的linux centos服务器被挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,服务器提供商说要重装系统,或者用原始正常镜像做恢复,这样会把原来的系统重新安装部署,这样下来又需要几天时间,测试维护,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。
下面记录描述一下处理方法,如下:
首先:针对CPU过高,针对占用进程进行排查,查找可疑进程。
通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。
这样基本可以消除CPU占用过高的问题。
再次 发现服务器被挖矿病毒入侵的内存占用过高,查看可疑进程,杀掉内存占用过高的进程,这里就不一一描述。
针对crontab顽固脚本,进行处理。处理步骤如下:
1.安装busybox
#!/bin/bash #获取busybox安装包,也可以其他机器下载后离线上传到目标机器 wget http://busybox.net/downloads/busybox-1.21.0.tar.bz2 #需要bzip2,要是机器没有安装的话 yum -y install bzip2
tar -xvf busybox-1.21.0.tar.bz2 cd ./busybox-1.21.0 make defconfig #注意,这里最好在相同操作系统的正常机器上进行静态链接 #防止动态链接还被挖矿病毒的动态库劫持,导致删除文件不成功 #如果条件不允许,第二点将会重点说明 make make install
#ln -s `pwd`/busybox /usr/bin/busybox
#busybox|grep BusyBox |grep v
成功后,提示如下:
BusyBox v1.21.0 (2019-04-15 19:51:44 CST) multi-call binary.
2.注释相关脚本
#vim /etc/ld.so.preload
3.建立查杀脚本,如:killwakuang.sh
脚本文件 ../killwakang.sh
(注意要设置权限:#chmod u+x ./killwakang.sh
vi设置unix文件::set ff=unix)
重启服务器后,继续执行sh
具体还有很多细节,中间可能会遇到各种各样的问题,可能环境不同,错误表现不同,需要针对性的解决,时间关系,不能细致描述,如有需要帮助支持,可以协助解决。
本人经过实践验证已经成功解决了挖矿病毒问题。
如需本人协助技术支持,可以联系,18034263356