挖礦病毒處理記錄

2022-08-29 16:06:36 字數 3459 閱讀 1418

1.top檢視挖礦病毒執行的程序,cpu一般占用很大比例

2. cd  /var/spool/cron

到裡面去看是否多了www或其他的定時任務檔案

3.   cd  /tmp

然後 ll 檢視一下,最近建的檔案

挖礦程式一般都放這裡面

4.檢視專案public或其他地方 是否有新增遠端呼叫檔案(一般php檔案)或注入**

處理:1.kill掉top裡高cpu的程序

[root@localhost tmp]# ps -ef | grep www | grep -v php | more

www 2635 1 99 22:01 ? 00:08:25 ./sysupdate

www 2686 1 99 22:01 ? 00:05:52 ./networkservice 15

root 4491 29554 0 22:05 pts/3 00:00:00 grep --color=auto www

www 26566 1 0 apr11 ? 00:00:06 ./sysguard

www 31533 6836 0 22:00 ? 00:00:00 nginx: worker process

www 31563 6836 0 22:00 ? 00:00:00 nginx: worker process

www 31752 6836 0 14:30 ? 00:00:02 nginx: worker process

www 31761 6836 0 14:30 ? 00:00:02 nginx: worker process

[root@localhost tmp]# kill -9 2635

[root@localhost tmp]# kill -9 2686

[root@localhost tmp]# kill -9 26566

2.刪除定時任務

[root@localhost tmp]# cd /var/spool/cron

[root@localhost cron]# ls

root www

[root@localhost cron]# cat www

*/30 * * * * sh /tmp/update.sh >/dev/null 2>&1

[root@localhost cron]# rm -f www

3.刪除 tmp裡的病毒指令碼。 碰到刪除不掉的可以先  chattr -i  update.sh ,再  rm -f update.sh

4.刪除專案裡的指令碼,然後必須給大點許可權的:檔案許可權都設定 644    目錄都設定755    runtime 可以設定 777

5. 檢視bash,設定不可登陸

6.補漏洞:

②禁用php裡的高危函式

找到php.ini     whereis php.ini

編輯php.ini      比如我的   vim  /usr/local/php/etc/php.ini

新增:disable_functions = phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

禁用eval函式: 

舉例 php 7.0.19   

然後進入到php_diseval_extension/source (看清楚是裡面的source目錄裡),然後執行正常的擴充套件的安裝命令

在擴充套件包目錄內執行  /usr/local/php/bin/phpize (換成自己的php安裝目錄)

在擴充套件包目錄內執行 ./configure --with-php-config=/usr/local/php/bin/php-config

執行make && make install

開啟php.ini檔案,配置重啟php

extension=diseval.so

參考:

③修改nginx配置,只讓index.php為入口

# location ~ \.php {

location ~* (index.php) {

fastcgi_pass 127.0.0.1:9000;

centos 挖礦病毒排除記錄

朋友突然收到阿里雲的簡訊,伺服器中挖礦病毒,想解決需要公升級伺服器,一年多幾千服務費。分享下解決辦法 top 找出 占用cpu最高的 pid ll proc pid 檢視程序所在的路徑 刪除這個程式,解釋 ll ls l pid 就是上面查詢到的程序號,刪除程式前確認非系統檔案,不影響系統使用。ls...

khugrepaged挖礦病毒的處理

今天登陸阿里雲控制台,看到有兩台伺服器的cpu佔用率竟達到了100 使用top命令,其中一台伺服器赫然顯示出排在第一的khugrepaged。網上搜到了一篇文章講解的很是詳細,雖然解決的細節有差別,但按著文章的步驟來搞,目前是沒有cpu飆高的情況了。我個人的操作是以下幾步 一 kill khugre...

zigw挖礦病毒

昨天配置了一天的aws今天就中招了,心痛一批 1.使用top命令可以明顯的 看到 zigw 程序,記下 程序號2.需要知道的是 3 執行命令 crontab l 可以檢視到有幾個定時器,crontab r 清除是沒有用的 4 目錄 root ssh 下面 authorize key 是攻擊者留下的後...