zigw挖矿病毒查杀

记录zigw的进程号：27126备用

参考文章：https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270
这个讲了这个病毒，但是没有说一个具体的解决方案。

https://yq.aliyun.com/articles/657476 这个讲了怎么解决但是还是会复发。

我们参考这两个文献来解决这个病毒。

首先看定时任务，进入/var/spool/cron。

查看root文件，发现有redis的字眼，怀疑可能和redis有关。

那么dump.rdb也好理解了，就是redis的快照文件。这里我采取的策略是把它们全部删除：
rm -rf *

然后进入/proc，再进入刚刚的进程文件

查看指令：ll

发现指向了/etc文件

先杀进程 kill -9 23176

改变权限

删除文件

cd /root/.ssh查看，并且删除authorize_keys

此时调用top查看进程发现高负载的病毒已经被清除

病毒入侵的原因还是redis，建议修改redis的访问权限！

redis修改配置文件要先kill原本的进程再重新启动！切记。

我操作了两天发现不会再被入侵所以才写了这篇推文，如果再发现被入侵的话再找找解决方案吧emm。

过了快1个星期了，没有问题哈哈~