linux病毒查杀

【2】可疑文件路径

【3】可疑网络连接

2.常见Linux病毒家族

老一辈： BillGates

新生代家族： DDG、SystemMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker

IoT家族：Mirai、Gafgyt

4.三步轻松清除挖矿病毒

【1-1】定位挖矿进程 1.top、htop

【1-2】清除挖矿进程 kill -9 [pid]

【2-1】根据进程信息定位文件ll /proc/[pid]/exe

【2-2】删除文件/文件夹 rm -rf [filepath/dir_path]

【3-1】检查定时任务 crontab -l , ll /etc/cron.d/

【3-2】清除定时任务 crontab -r*注意是否存在业务需要的定时任务

【3-3】删除指定定时任务 grep -r "curl" /var/spool/cron

【3-4】 删除定时任务文件 rm /etc/cron.d/[file]

5.顽固病毒对抗技巧

关键字关联可以进程： ps -elf | grep [sh、wget、curl、xmr、mine、ssh] | grep -v grep

6.主机卡顿但找不到挖矿进程

使用busybox的top命令，

1.查进程

ps命令查找与进程相关的PID号：psa显示现行终端机下的所有程序，包括其他用户的程序。ps-A显示所有程序。psc列出程序时，显示每个程序真正的指令名称，而不包含路径，参数或常驻服务的标示。ps-e此参数的效果和指定"A"参数相同。pse列出程序时，显示每个程序所使用的环境变量。psf用ASCII字符显示树状结构，表达程序间的相互关系。ps-H显示树状结构，表示程序间的相互关系。ps-N显示所有的程序，除了执行ps指令终端机下的程序之外。pss采用程序信号的格式显示程序状况。psS列出程序时，包括已中断的子程序资料。ps-t<终端机编号

指定终端机编号，并列出属于该终端机的程序的状况。psu以用户为主的格式来显示程序状况。psx显示所有程序，不以终端机来区分。

最常用的方法是ps

aux,然后再通过管道使用grep命令过滤查找特定的进程,然后再对特定的进程进行 *** 作。psaux|grepprogram_filter_word,ps-ef|greptomcat

2.杀进程

使用kill命令结束进程：killxxx常用：kill－9324

Linux下还提供了一个killall命令，可以直接使用进程的名字而不是进程标识号，例如：#killall-9NAME

一个命令： 这个命令需要用户处于root权限才能看，执行之后可以看到： 简单说一下： total-vm就是进程使用的虚拟内存大小，其中部分内容映射到RAM本身，也就是主存，被分配和使用也就成了RSS。 部分RSS在实际内存块里面分配，成了anon-rss，叫做匿名内存。还有映射到设备和文件的RSS内存卡，叫做file-rss。 比如说： 你用vim指令打开一个巨大的文件，那么file-rss将会很高。 如果你用malloc()动态分配很大部分的内存，并且真的使用了它，那么anon-rss也会很高。 但是！！如果你使用malloc()分配了大量的内存，但是不去用它！那么total-vm将会变得更高，但是因为内存过量使用，不会使用真正的内存，那么rss值会很低。 可以看到上述信息，发现进程被杀掉了。 那么杀掉它的原因是什么呢？ 首先确定，当报出OOM的时候，系统的内存已经不足了，于是linux会决定杀掉进程，但是linux采用的策略并非是杀掉最占用内存的进程(Android是这样)。 linux会给每个进程评分：oom_score 根据这个评分去kill，决定这个分数的因素除了内存占用大小之外，还有内存增加的速率，比如说kylin，当执行Task构建Cube的时候，内存的占用会突然爆发式增长！发现这时候的分数老高了！然后就把它kill了。http://www.wowotech.net/memory_management/oom.html https://stackoverflow.com/questions/18845857/what-does-anon-rss-and-total-vm-mean

---