[systemxlv] 一個該死的挖礦病毒——在linux上的解決方案

前言(廢話)

最近沉迷linux,作為一個公司的前后端開發(fā)/產(chǎn)品/客服/運維,就在今天早上,客戶告訴我網(wǎng)頁打不開了,登錄后臺一看(top)滿屏幕的systemxlv,直覺告訴我,狗日的挖礦程序又開始了。。。

解決方案

  1. 首先去 /tmp(一般挖礦病毒的執(zhí)行目錄都在這里,然后發(fā)現(xiàn)systemxlv)
drwxrwxrwt  4 root root   4096 Dec 18 10:52 ./
drwxr-xr-x 23 root root   4096 Dec  7 06:13 ../
drwx------  3 root root   4096 Dec 18 10:52 systemd-private-135efe0ea2b24673a469f1a7f5c3cbcb-systemd-resolved.service-wxfhL3/
drwx------  3 root root   4096 Dec 18 10:52 systemd-private-135efe0ea2b24673a469f1a7f5c3cbcb-systemd-timesyncd.service-UKM8NL/
----------  1 root root 629120 Dec 18 10:41 systemxlv
  1. 然后 /root 目錄(發(fā)現(xiàn)兩個可疑的家伙 ceurnadi libstdci)
drwx------  5 root root    4096 Dec 15 12:24 ./
drwxr-xr-x 23 root root    4096 Dec  7 06:13 ../
-rw-------  1 root root    2709 Dec 18 10:18 .bash_history
-rw-r--r--  1 root root    3106 Apr  9  2018 .bashrc
drwx------  2 root root    4096 Dec  3 10:24 .cache/
-rwxr-xr-x  1 root root    2057 Dec 15 12:24 ceurnadi*
drwx------  3 root root    4096 Dec  3 10:24 .gnupg/
-rwxr-xr-x  1 root root 1166228 Dec 15 12:24 libstdci*
-rw-r--r--  1 root root     148 Aug 17  2015 .profile
drwx------  2 root root    4096 Oct 24 18:04 .ssh/
-rw-------  1 root root    6924 Dec  3 20:55 .viminfo

3.把這三個權(quán)限置為000(不可讀不可改不可執(zhí)行 注意:使用root權(quán)限)

su
chmod 000 /tmp/systemxlv
chmod 000 /root/ceurnadi
chmod 000 /root/libstdci

4.假如發(fā)現(xiàn)Operation not permitted

chattr -i ceurnadi
chattr -i libstdci
chmod 000 /root/ceurnadi
chmod 000 /root/libstdci

5.然后

killall systemxlv
killall ceurnadi
killall libstdci
  1. top 查看一下 應(yīng)該已經(jīng)好了 當(dāng)然還有大量的殘余sleep進(jìn)程 等一會兒就好了

遇到的一些坑

目前 還不知道 為什么被挖礦 有知道的小伙伴麻煩下方留言 萬分感謝?。。?!

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容