問題描述

Linux進程?

阿里云管理控制臺看看CPU占用率

解決方案?

?

top命令

獲取進程號

查看進程運行的文件位置

ls 命令

ls -l proc/{進程號}/exe

sysupdate、networkservice都在/etc/目錄下

到etc下，除了sysupdate、networkservice 同時還有sysguard、update.sh，除了update.sh其余的都是二進制文件，應該就是挖礦的主程序以及守護程序了。

病毒腳本分析

即update.sh：

1，在 /root/.ssh/authorized_keys里面，添加病毒投放者的公鑰，保證其可以使用 SSH 登錄到服務器。

2，下載

config.json （挖礦配置）、

sysupdate （XMR 挖礦軟件）、

update.sh （病毒主腳本）、

networkservice(scanner掃描并入侵其他的主機)、

sysguard(watchdog 用于監控并保證病毒的正常運行以及更新)

并保證他們以 root 權限運行。

3,kill其他的挖礦病毒（優秀。。。）。

................................

刪除定時任務

rm /var/spool/cron/root 或crontab -r

殺掉進程

kill命令

kill -9 {進程號}

刪除文件

文件無法直接刪除，因為一般病毒會使用chattr +i命令。

我們使用

chattr -i sysupdate rm -f sysupdate chattr -i networkservice rm -f networkservice chattr -i sysguard rm -f sysguard chattr -i update.sh rm -f update.sh chattr -i config.json rm -f config.json

對于/root/.ssh/authorized_keys文件可以選擇刪除或修復

不能確定病毒投放者的KEY時建議全部刪除。

其他問題?

如果你被攻破的是root用戶(或者被攻破的用戶權限較大),你可能還需要

1、修復SELinux

病毒腳本首先就會嘗試關閉SELinux子系統，我們可以使用getenforce命令查看SELinux狀態。

如果你想要重新打開，可以修改/etc/selinux/config文件將SELINUX=disabled改為SELINUX=enforcing，然后重新啟動服務器。

2、wget命令和curl命令會被改為wge和cur，這樣用著很變扭，改回來

mv /bin/wge /bin/wget mv /bin/cur /bin/curl mv /usr/bin/wge /usr/bin/wget mv /usr/bin/cur /usr/bin/curl

3、恢復防火墻配置

這里給出病毒腳本修改的iptables配置的語句，方便讀者修復

iptables -F iptables -X iptables -A OUTPUT -p tcp --dport 3333 -j DROP iptables -A OUTPUT -p tcp --dport 5555 -j DROP iptables -A OUTPUT -p tcp --dport 7777 -j DROP iptables -A OUTPUT -p tcp --dport 9999 -j DROP iptables -I INPUT -s 43.245.222.57 -j DROP service iptables reload

如果你的iptables策略確定被清除并且修改了，那直接清空并重新配置即可。?

參考文章?

https://notes.daiyuhe.com/clear-linux-mining-virus/

https://blog.csdn.net/weixin_41762839/article/details/105113868

https://blog.csdn.net/aaa_bbb_ccc_123_456/article/details/103292656

總結

以上是生活随笔為你收集整理的Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。