systemd挖矿病毒遏制流程参考
top 查看进程占用情况
systemctl status 128724 找出占用较高的恶意进程的相关进程
kill STOP 128724 121095 停止对应恶意PID进程,为服务器CPU降压(注:这里不推荐直接删除进程,因为挖矿往往存在定时任务,删除后还会自动生成,但停止恶意进程会使其陷入一个执行的空窗期,为我们的清理排查赢得时间)
crontab -l 查看计划任务
三个核心自动挖矿任务文件位置:
/etc/cron.d、/root/、/opt/文件夹下(以systemd命名)
ls -al /etc/cron.d
ls -al /root/
ls -al /opt/
cat /etc/cron.d/0systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW
cat /opt/systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW.sh
cat /root/.systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW.sh
删除挖矿文件和计划任务
清除crontab里挖矿计划任务https://drive.weixin.qq.com/s?k=AHEAxAeGABEeUP0wZOAUoAvwaSAEY
rm-rf /etc/cron.d/0systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW
rm-rf /root/.systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW.sh
rm-rf /opt/systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW.sh
删除以上文件后,再模糊查询检索一下
find / -iname .systemd-private*
find / -iname systemd-private*
find / -iname 0systemd-private*
find / -iname .systemd-service.sh
find / -iname systemd-service.sh
kill -9 128724 121095 kill 掉对应的进程PID
rm -rf /tmp.X11-unix/ (可选)
grep "systemd-" /var/log/cron //查看自启动日志,看看是否还有新增任务
总结:
计划任务:
crontab -l
27 * * * * /root/.systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW.sh > /dev/null 2>&1 &
三个核心自动生成挖矿任务的文件位置:
/etc/cron.d/0systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW // 第一挖矿进程
/root/.systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW.sh // 挖矿子进程1
/opt/systemd-private-KGSQe54IJ4MvjaC7DQ49V970OvEbuWW.sh // 挖矿子进程2
/tmp/.X11-unix/ //挖矿pid目录
序号 名字 属性 作用
1 11 文件 病毒运行进程pid
2 01 文件 守护进程pid
3 22 文件 ssh爆破进程pid??
4 sshd 目录 ssh密码爆破相关信息