云服务器中挖矿病毒的清除过程（三）

服务器CPU使用率50%，被两个进程占用，名称分别为
-mysql
zfsutils-md5sum

使用crontab -l查看定时任务，发现病毒文件-mysql

查看这个/var/log/目录，发现更多病毒文件，-mysql是个脚本，内容如下

查看/etc/crontabdaily目录，发现一个文件名为ntpdate

/bin/sysprg创建日期与ntupdate是同一天，文件大小与x86_64相同，无疑也是个病毒文件。

进入到/var/spool/cron目录查看文件权限，发现被加了保护，使用lsattr去除，再编辑删除内容即可

禁用crontab

云服务器中挖矿病毒的清除过程（一）
云服务器中挖矿病毒的清除过程（二）

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为
-bash，按c查看详情，名称显示为python
十分可疑
杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了
查看/etc/cronhourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

crondaily cronweekly cronmonthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除

删除/opt/new目录时，发现此目录下还有一个/opt/md目录，内容如下
病毒运行原理是

其他常用的诊断命令

关联文章：
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复

参考文章：
PC样本分析记录最近与挖矿病毒的斗智斗勇
PC样本分析记录最近与挖矿病毒的斗智斗勇(二)

电脑中病毒，那么最好的解决办法就是格式化系统盘或是全盘，或是重新分区后重装系统，通过系统光盘或是制作的u盘启动盘来安装，通过快捷键或是进入bios中设置开机启动项从cd或是usb启动然后安装系统，这样电脑就可以恢复正常使用运行的

ctrl+alt+delete打开任务管理器试一下是否有异常进程暂用cpu

另外可以下载安装360安全卫士开启反挖矿防护，有效拦截，并且使用木马查杀进行全盘查杀

最近测试服务器与正式服务器接连中了挖矿病毒，
导致 linux 服务器 CPU占用率100%，白给人打了好几天工。
记录一下解决问题的 *** 作流程
一共遇到两种情况，查看相关文章并且成功解决
两次问题的情况不太一样，分别说明

服务器遇到这两次中挖矿病毒事件暂时是解决了。从事移动端，并非运维，都是查各种资料看的。至于后期应该怎么避免再次遭受攻击再学习研究 改BUG去了

线上一台服务器，CPU高达90%以上，经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果，很快就会自动恢复
排查步骤：

结果：

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件？

我这台机器跑的容器不多，可以用复制文件的方法，先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题，最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器，所以先启动了一个新php容器，修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。（nginx容器已经映射目录到宿主机）

修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后，删除原来的php容器。（这是自然也==直接删除了病毒文件）
执行 TOP命令，CPU占用正常。
平时防火墙和sellinux都关闭的话，服务器不要暴漏太多无用端口，出现问题应该最新通过进程名去查找文件的原始位置去分析问题，遇到挖矿病毒也应该多注意/etc/initd下和cron计划任务有无异常。
后期也可以写个cron或者脚本

---