前言

最近看到内网服务器cpu使用率爆炸,发现是一个进程名为x的进程搞得鬼,杀掉之后过不久又出现了,于是我猜测会不会是cron或者有别的守护进程让它一直重启

于是我看了一下/etc/cron.d目录,发现了这几个奇怪的文件

文件里面只有一行命令

*/3 * * * * /usr/lib/sys/sysinit

然后我就在/usr/lib/sys中找到了这个挖矿病毒的程序

用在线的病毒分析工具发现确实是挖矿病毒

于是乎,我就开始了清理病毒之路

解决方案

首先我想到的是用rm -rf直接干掉他,然而却告诉我权限不够

然后我Google了一下,使用lsattr命令发现有a这个属性,表示不可修改,难怪我删不掉他,接着我用chattr -i ./x干掉了他的a属性,然后重新尝试rm -rf成功删除!

然后我将cron.d中的cron定时任务用同样的方式也给干掉了,并kill掉了这两个进程,并修改了服务器的密码,于是乎这个挖矿病毒终于被我干掉了!

这个方案在我看来并不算真的解决了,也许这台服务器是有什么严重的漏洞导致被黑客入侵了,之后还要用漏洞扫描工具看一看系统是不是还有什么重大的漏洞