1.kswapd0挖坑病毒
# 1.查看cpu已经拉满
top
# 6885 vboxuser 20 0 2501968 2.3g 4 S 1429 3.7 113138:14 kswapd0
# %CPU 1429
# 2. 查看kswapd0 的ip
netstat -antlp | grep kswapd0
#tcp 0 1 192.168.0.13:40346 45.9.148.234:80 SYN_SENT 6885/./kswapd0
#tcp 0 0 192.168.0.13:45484 45.9.148.236:443 ESTABLISHED 6885/./kswapd0
# 显示的是国外的ip
# 3. 查看进程详情
ll /proc/6885
# lrwxrwxrwx 1 vboxuser vboxusers 0 Apr 12 01:26 exe -> /home/vboxuser/.configrc5/a/kswapd0
# 找到关键信息 执行命令脚本位置
# 4. 查看进程空间信息
ps -ef | grep kswapd0
# root 105 2 0 Mar05 ? 00:11:13 [kswapd0]
# root 5535 27210 0 09:40 pts/1 00:00:00 grep --color=auto kswapd0
# vboxuser 6885 1 99 Apr09 ? 78-15:06:07 ./kswapd0
# 5. 删除木马的脚本
rm -rf /home/vboxuser/.configrc5
# 6. 清除定时任务
crontab -l # 查看是否有任务
crontab -e # 编辑并清除
# 7. 杀死kswapd0相关进程
kill -9 6885
kill -9 105
# 8. 查询并杀死有问题的作业程序
ps aux | grep cron
kill -9 xxx
# 9. 检查 ssh秘钥登录是否被篡改
vi .ssh/authorized_keys # 编辑有歧义的账户秘钥信息
# 10. 修复原服务器的密码
## 11.加入定时删除
# 创脚本
vi /tmp/kill_kswapd0.sh
#输入定时命令
ps -aux | grep kswapd0 |grep -v grep|cut -c 9-15 | xargs kill -9
rm -rf /home/vboxuser/.configrc5
# 给予执行权限
chmod 755 /tmp/kill_kswapd0.sh
# 先手动执行一下,杀一遍进程
/tmp/kill_kswapd0.sh
# 加入定时任务
crontab -e
#输入内容
*/1 * * * * /tmp/kill_kdevtmpfsi.sh
# 保存退出
2.kdevtmpfsi挖矿病毒
通过定时任务定期杀死病毒进程
# 1.查看cpu已经拉满
top
# 2. 查看进程空间信息,确实存在
ps -ef | grep kdevtmpfsi
# 3. 创脚本
vim /tmp/kill_kdevtmpfsi.sh
#输入定时命令
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
# 4. 给予执行权限
chmod 755 /tmp/kill_kdevtmpfsi.sh
# 5. 先手动执行一下,杀一遍进程
/tmp/kill_kdevtmpfsi.sh
# 加入定时任务
crontab -e
#输入内容
*/1 * * * * /tmp/kill_kdevtmpfsi.sh
# 保存退出
3. watchdogs病毒
# 1.查看cpu已经拉满
top
# 2. 查看进程watchdogs ,一般watchdog正常,watchdogs是病毒
ps -ef|grep watchdogs
# root 4513 48344 0 16:40 pts/1 00:00:00 grep --color=auto watchdogs
# user1 63646 1 39 Apr13 ? 23:04:04 ./watchdogs ssh failed kthread watchdog
# user1 65297 1 37 09:39 ? 02:38:48 ./watchdogs ssh failed kthread watchdog
# 3. 处理用户
# user1 用户已经暴露,如果用户没有哦重要信息,直接删除
userdel -r user1
# 提示用户被进程38188 占用
# userdel: user user1 is currently used by process 38188
#杀掉 38188
kill -9 38188
# 找出当前用户关联的所有进程
pgrep -u user1
# 38188
# 58794
# 50457
ps -f --pid $(pgrep -u user1) 显示详情
# user1 38188 1 39 Apr13 ? Sl 1388:20 ./watchdogs ssh failed kthread watchdog
# user1 58794 1 37 09:39 ? Sl 162:25 ./watchdogs ssh failed kthread watchdog
# user1 50457 1 37 09:39 ? Sl 132:25 ./watchdogs ssh failed kthread watchdog
# 杀死所有关联进程
ps -f --pid $(pgrep -u user1)
# 再次删除用户
userdel -r user1
# 4. 查看进程详情
ll /proc/63646
# lrwxrwxrwx 1 user1 user1 0 Apr 12 02:38 exe -> /dev/shm/watchdog
ll /proc/65297
# lrwxrwxrwx 1 user1 user1 0 Apr 15 09:39 exe -> /dev/shm/watchdogs
# 5. 删除木马的脚本
rm -rf /dev/shm/watchdog
rm -rf /dev/shm/watchdogs
# 6. 清除定时任务
crontab -l # 查看是否有任务
crontab -e # 编辑并清除
建议与总结
- 打开防火墙firewalld
- ftp 修改默认22端口
- 对外开放的端口按需开放
- 提高密码复杂度
- 修复系统漏洞
- 优先使用秘钥登录,少用账户密码登录