服务器挖矿病毒查杀

挖矿病毒查杀

查看表现

1. top 单个进程 cpu 程序占用 300% 以上
2. 查看内存占用： free -h
3. ssh 服务器不能登录
4. 应用程序不能启动等
5. 查看 cpu 占用最高

# linux 下 取进程占用 cpu 最高的前10个进程
ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head


# linux 下 取进程占用内存(MEM)最高的前10个进程
ps aux|head -1;ps aux|grep -v PID|sort -rn -k +4|head

# linux 下 取进程僵死进程 （删除ppid）
ps -A -ostat,ppid,pid,cmd | grep -e '^[Zz]'

查看路径

1. 查看进程详细信息：ps -ef|grep xx (xx 为进程号)
   查看父子进程号：ps ajx
2. ll /proc/xx/ 或者 ll /proc/xx/exe 其中 xx 为进程号
3. 查看系统定时任务： crontab -l
4. cat ~/.ssh/authrized_keys

处理病毒

1. 删除父子进程
2. 删除子进行(病毒路径)的文件
   /tmp/xxxxx/config.json /tmp/xxxxx/*
3. 删除系统定时器的内容
   crontab -e || dd || wq
4. 删除未信任的 ssh 主机
5. 修改不使用用户名密码登录，使用 pem 密钥文件登录, 见环境配置-注意点-第 5 条

参考

1. 阿里云文档
2. linux 相关命令
3. MaCloud 博客-病毒查杀

步骤简化：

1.pkill java 杀掉挖矿程序的进程

2.rm -rf java 删除挖矿程序

3.crontab -r 删除定时任务

4.检查用户列表，开机启动，.ssh文件

5.去阿里云控制台设置安全组关闭不安全端口