Linux——挖矿病毒(sysupdate, networkservice进程)清除解

时间:2022-07-21 06:47       来源: 未知

Linux进程?

阿里云管理控制台看看CPU占用率

?

ls 命令

 

sysupdate、networkservice都在/etc/目录下

到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了。

即update.sh:

1,在 /root/.ssh/authorized_keys里面,添加病毒投放者的公钥,保证其可以使用 SSH 登录到服务器。

2,下载

config.json (挖矿配置)、

sysupdate (XMR 挖矿软件)、

update.sh (病毒主脚本)、

networkservice(scanner扫描并入侵其他的主机)、

sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)

并保证他们以 root 权限运行。

3,kill其他的挖矿病毒(优秀。。。)。

................................

 
 

kill命令

 
 

文件无法直接删除,因为一般病毒会使用chattr +i命令。

我们使用

 

对于/root/.ssh/authorized_keys文件可以选择删除或修复

不能确定病毒投放者的KEY时建议全部删除。

如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

1、修复SELinux

病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。

如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。

2、wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来

 
 

3、恢复防火墙配置

这里给出病毒脚本修改的iptables配置的语句,方便读者修复

 
 

如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。?

文章来源: http://www.vivefun.com

原文地址:http://www.vivefun.com/ylzwgb/641.html

« 上一篇:C++_07_多线程
» 下一篇:没有了

相关推荐