一次挖矿病毒处理

背景：一次学术交流，一台16核的机器，2秒CPU跑满。

首先登陆到机器上

1.用top命令查看负载很高，但是CPU为0。这种挖矿把自己隐藏起来了。所以你在top上面什么都看不到

2.使用perf 命令查看隐藏进程 perf top -s comm,pid

看到此处被2大挖矿进程占满了CPU

3.这个时候考虑一下，为啥top看不到进程呢？

答案是加载了动态连接库去隐藏了该进程。

查看了一下 /etc/ld.so.preload

果然发现了被加载的库

清空他了之后 再次top就可以看到被隐藏的进程了

使用 ps -ef 查看进程，发现了4大进程

使用lsof查看进程详细信息

发现他的自启程序已经删除掉。

那么我们就简单一点把他的自启程序占用了

先创建他 mkdir -p /tmp/kauditds

然后 chattr +i /tmp/kauditds

接下来我们kill掉进程

杀毒完成。