linux服务器挖矿木马的处理步骤
2111
发布于 云南 2019-02-28 · 1.7w浏览 1赞

前几天爆发了一波挖矿木马,中招的各种服务器不在少数。该木马不但劫持服务器、占用服务器资源,而且修改系统本身的动态链接库,使得各种系统命令无法显示木马相关进程,另木马清理难度直线上升。(具体爆发过程和原理看这里:https://mp.weixin.qq.com/s/7HyO9gVdgDYL4x7DKCVgZA)



说下清除步骤:

1、停止crontab服务或者直接卸载,(该木马通过定时任务下载木马本体并执行)。

2、下载busybox工具(由于系统自带的动态链接库被木马感染,无法显示木马相关进程)。

3、查看/tmp/.lsdpid文件,里面有个id号,kill -9杀掉相关进程。

4、删除系统中名为watchdogs的文件(看门狗,进程守护工具)。

5、删除如下文件:

/etc/ld.so.preload
/etc/libjdk.so
/usr/local/lib/md.so
/usr/local/lib/screen.so
/usr/local/lib/y.so

6、使用busybox工具杀掉挖矿主进程

busybox ps -ef | busybox grep -v grep |busybox egrep 'wnTKYg|2t3ik|qW3xT.2|ddg|kworkerds' |busybox awk '{print $2}' |busybox xargs kill -9

7、重启操作系统,重复3~6步操作后再次重启

到这里木马基本就处理掉了,然后需要修改系统登录密码,关闭redis外网端口。

当然,最保险的还是重新装个系统,如果是云服务器,可以回滚的就直接回滚了吧,省事还安全。

2111
~
浏览 1.7w
1
相关推荐
最新评论
赞过的人 1
评论加载中...

暂无评论,快来评论吧!