1 症状
CPU一半核心满载,断网负载消失,联网负载出现,htop、top、ps等无法查找到占用cpu进程。
clamav慢扫全盘无结果。
使用netstat -anptu找到一个德国ip
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 294 59.77.18.34:37682 139.59.206.74:443 LAST_ACK -
该进程未显示PID/Program name
2 找出隐藏的挖矿进程
利用两个工具【sysdig】和【unhide】来搜寻被隐藏的进程。
https://blog.csdn.net/weixin_48958956/article/details/139812765
sudo apt install sysdig
sudo apt install unhide
sudo sysdig -c topprocs_cpu # 输出cpu占用的排行,可以显示出隐藏的进程
#sudo unhide proc # (这个貌似没啥用)搜索隐藏进程,proc目录下保存的是所有正在运行程序的进程ID,即PID
找到占用的程序PID
CPU% Process PID
3181.01% 135d2727 3532
查找PID对应的服务
systemctl status 3532
输出
user@server:/usr/bin$ systemctl status 3532
● yayaya3b8ce582.service
Loaded: not-found (Reason: Unit yayaya3b8ce582.service not found.)
挖矿程序为yayaya3b8ce582.service
找出挖矿服务的位置
user@server:~$ systemctl cat yayaya3b8ce582
# /lib/systemd/system/yayaya3b8ce582.service
[Unit]
Description=Server Service
Wants=network-online.target
After=network-online.target
[Service]
Type=forking
User=root
ExecStart=/usr/lib/x86_64-linux-gnu/yayaya73bb36e4
Restart=always
RestartSec=4h
[Install]
WantedBy=multi-user.target
3 删除挖矿病毒的服务,按照以下步骤操作:
3.1. 断网修改密码
首先,断网!!!!!!,修改所有用户密码,以及root密码。
大小写和数字组合
修改所有用户密码参考:https://www.yisu.com/ask/62017172.html
修改root密码,在root下使用passwd更改
3.3. 停止服务:
停止正在运行的服务。
systemctl stop yayaya3b8ce582
3.2. 禁用服务:
禁用服务以防止它在系统重启后再次启动。
systemctl disable yayaya3b8ce582
3.3. 删除服务文件:
删除与该服务相关的系统服务文件。
rm /lib/systemd/system/yayaya3b8ce582.service
3.4. 重新加载systemd配置:
删除服务文件后,重新加载systemd的配置。
systemctl daemon-reload
3.5. 检查并删除可疑文件:
删除服务对应的可执行文件,以防止再次被执行。
rm /usr/lib/x86_64-linux-gnu/yayaya73bb36e4
3.6. 检查是否有其他可疑服务:
列出所有正在运行的服务,并检查是否有其他可疑的服务。
systemctl list-units --type=service
按照以上步骤操作,可以有效地删除这个挖矿病毒服务,并减少它对系统的影响。如果怀疑系统可能存在更多安全隐患,建议备份重要数据,并考虑重新安装操作系统以确保系统的干净和安全。
本文更新之日,再中病毒之时。