记一次挖矿病毒处理

现象

最近服务器CPU突然长时间占用率100%，然后使用top命令查看CPU占用率，发现有个不知名的进程（进程名是个随机字符串）将CPU占满。

处理

最开始直接使用kill -9 pid的方式杀掉挖矿程序，CPU占用率瞬间就降低了，但是隔一段时间之后又会出现一个挖矿进程（进程名是个随机字符串）将CPU占满，只能隔一段时间使用kill -9 pid的方式杀掉。

后来使用netstat -natp查看端口占用情况，发现除了正常的端口占用外的其他端口都被一个叫Zf5FIHm的进程给占用，使用ps -ef|grep Zf5FIHm查看其进程信息，得到其pid为16194，使用systemctl status 16194查看与其相关的进程信息，对查询出的进程使用相同的操作，ps -ef|grep nYsZ00a、systemctl status 887，最后使用kill -9 887 16194强制结束相关进程。在等待一天后，发现挖矿程序一直没有再次启动，不排除重启服务器会再次启动，因为服务器上的东西太多不方便重启，所以没有测试服务器重启的情况。

步骤小结

1. netstat -natp
2. ps -ef|grep Zf5FIHm
3. systemctl status 16194
4. 如果查到有别的进程，从2循环
5. kill -9 pid

期间也使用clamscan -r -i / --remove -l /root/clamav.log来处理病毒，但其执行到一半会莫名被kill掉。

也使用crontab -l、crontab -e等命令，发现定时任务并不是写在crontab中。

结尾

由于本人不是专门搞安全的，是一个只会CV的码农，所以只能到此为止了，再搞下去就不礼貌了