前言(废话)
最近沉迷linux,作为一个公司的前后端开发/产品/客服/运维,就在今天早上,客户告诉我网页打不开了,登录后台一看(top)满屏幕的systemxlv,直觉告诉我,狗日的挖矿程序又开始了。。。
解决方案
- 首先去 /tmp(一般挖矿病毒的执行目录都在这里,然后发现systemxlv)
drwxrwxrwt 4 root root 4096 Dec 18 10:52 ./
drwxr-xr-x 23 root root 4096 Dec 7 06:13 ../
drwx------ 3 root root 4096 Dec 18 10:52 systemd-private-135efe0ea2b24673a469f1a7f5c3cbcb-systemd-resolved.service-wxfhL3/
drwx------ 3 root root 4096 Dec 18 10:52 systemd-private-135efe0ea2b24673a469f1a7f5c3cbcb-systemd-timesyncd.service-UKM8NL/
---------- 1 root root 629120 Dec 18 10:41 systemxlv
- 然后 /root 目录(发现两个可疑的家伙 ceurnadi libstdci)
drwx------ 5 root root 4096 Dec 15 12:24 ./
drwxr-xr-x 23 root root 4096 Dec 7 06:13 ../
-rw------- 1 root root 2709 Dec 18 10:18 .bash_history
-rw-r--r-- 1 root root 3106 Apr 9 2018 .bashrc
drwx------ 2 root root 4096 Dec 3 10:24 .cache/
-rwxr-xr-x 1 root root 2057 Dec 15 12:24 ceurnadi*
drwx------ 3 root root 4096 Dec 3 10:24 .gnupg/
-rwxr-xr-x 1 root root 1166228 Dec 15 12:24 libstdci*
-rw-r--r-- 1 root root 148 Aug 17 2015 .profile
drwx------ 2 root root 4096 Oct 24 18:04 .ssh/
-rw------- 1 root root 6924 Dec 3 20:55 .viminfo
3.把这三个权限置为000(不可读不可改不可执行 注意:使用root权限)
su
chmod 000 /tmp/systemxlv
chmod 000 /root/ceurnadi
chmod 000 /root/libstdci
4.假如发现Operation not permitted
chattr -i ceurnadi
chattr -i libstdci
chmod 000 /root/ceurnadi
chmod 000 /root/libstdci
5.然后
killall systemxlv
killall ceurnadi
killall libstdci
- top 查看一下 应该已经好了 当然还有大量的残余sleep进程 等一会儿就好了
遇到的一些坑
目前 还不知道 为什么被挖矿 有知道的小伙伴麻烦下方留言 万分感谢!!!!
网友评论