封条锁
【Linux挖矿病毒】进程名Kthreaddk,执⾏⽂件名qwieot处理⽅法 项⽬场景:
Linux服务器中挖矿病毒
输⼊htop,看到cpu使⽤率达到百分之百。
挖矿进程名:Kthreaddk
挖矿⽂件名:qwieot
问题描述:
在我快乐地⽤Linux服务器的时候,突然感觉命令⾏敲得很卡。输⼊htop查看原因,发现是cpu使⽤率达到100,被挖矿程序给占领了。 ⾸先的操作是尝试Kill 掉挖矿进程 ,执⾏kill -9 PID,但是发现程序会⾃动重启,很快cpu⼜满了。
第⼆,我们可能知道是因为病毒程序设置了 定时任务,执⾏汤盆
#查看定时任务
电子狗数据
crontab -l
声纳探鱼器
发现确实系统设置了定时任务,定时任务启动的脚本是tomcat/docs/qwieot⽂件。我们删除这个定时任务 crontab -r,发现删除不了此任务。 我们删除执⾏⽂件
rm -rf $(find / -name “qwieot”)
但是病毒脚本⼜会继续出现在别的⽬录下,猜想⼤概的原因是因为有守护进程会⾃动地创建病毒脚本。
第三,删除脚本后⽴即输⼊指令reboot,将计算机重启,但是⽊马程序会再次⾃⼰启动。
双活接球阀
原因分析:
⾸先计算机⽊马程序极有可能是从tomcat服务侵⼊的,因为看到定时任务的启动我⽂件是在tomcat项⽬⽬录下。
第⼆,我们不能kill 掉⽊马程序进程,不能清除掉定时任务,不能删除⽊马程序,原因应该是该⽊马程序有相应的守护进程。所以我们要关闭守护进程。
解决⽅案:
在输⼊指令reboot重启计算机后,我发现cpu的占⽤是逐渐的从0到百分只百的,再这个过程中通过htop看到计算机启动了tomcat/docs⽂件⽬录下的⼀个程序⽂件,所以极有可能这个程序就是 “幕后⿊⼿”,我们先使⽤rm 指令将这个程序的⽂件删除。然后⽴即输⼊reboot指令,重启。
发现⽊马挖矿程序不会⾃动启动了,然后我们再删除掉定时任务和定时的程序就可以了。
包覆胶水注: 从这次处理病毒的事件中,我得到的教训是 服务器的端⼝不要随便开放,最好多设置⼀些安全策略,否则不知道啥时候就被⿊了。。。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议