主机被抓做矿机的处置办法---乱码进程耗费CPU，杀掉自动重启

1、现象

某台测试环境主机，root口令简单，某天被发现某进程（进程名为乱码，类似：wswdkfreuo，查看进程执行的命令为常用系统命令，如who、ls、top、route -n等）极耗CPU，杀掉后分分钟再次出现，进程名变更成其他乱码。

 

2、排查

查看进程相关文件：lsof -p 8054

该进程通过TCP与远程主机连接。

查看相关命令为最近创建：ls -lrt /user/bin/

检查crontab，发现多出一条记录：cat /etc/crontab

查看gcc.sh

 像这种头部没注释（一般系统文件都会带有较长的注释，还有License之类的），创建时间又不长的文件，极大概率就是病毒。然后可以看见，这个文件将 libudev.so 不断复制，这么来看，病原体主要就是这个文件。

     

3、处置

1）修改root口令为强口令

2）注释掉crontab相关记录

3）删除gcc.sh

4）检查/etc/init.d目录，/etc/rc#.d/目录下的所有文件，通过创建日期和进程名判断该启动项是否为病毒，删除之。也可以通过内容查看是否为病毒，一般病毒文件里面内容短小，并且写法一样，如下图：

/etc/init.d目录

 

/etc/rc0.d/、/etc/rc1.d/

5）删除/usr/bin下程序文件，一般启动文件都是当天创建的，把/bin目录下的当天创建的启动项删掉就好；

查找最近一天的文件：find dir -mtime -1

6）重启服务器，到这里按道理一开始病毒没有通过守护进程开机启动的话，就不会再启动了，这时候再把libudev.so删掉，就没有问题了。

这里也可以不用重启服务器，在删除gcc.sh的前提下，一并执行下列命令：

rm -f libudev.so ;chattr +i /lib;kill -9 34279 最后这个进程id为挖矿进程id

执行完后，再次检查上述3-5步操作；

完了别忘记解除对lib目录的限制：chattr -i /lib

保险起见，最好再重启下看看。

 

4、不当处置

删除gcc.sh后直接杀掉挖矿进程：将启动新的挖矿进程，并重新生成gcc.sh;

删除gcc.sh后直接删除libudev.so：将重新生成libudev.so，挖矿进程应该在监控该文件

别指望同时执行删除libudev.so和杀进程能搞定，我已经试过了，不行。

 

参考：https://blog.****.net/yinanmo5569/article/details/79940788