[kthreaddi]挖矿病毒处理,终于解决了!

云服务器被黑了,kthreaddi这货导致的。

[kthreaddi]挖矿病毒处理,终于解决了!_第1张图片

kill后会自动重启。

定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。

找到其中一个文件,搞了很长时间才知道是一个加了壳elf文件,反编译后60万行,想弄清楚代码逻辑是不太可行的。

准备放弃时更恶心的是来了,定时器产生的elf文件不在自动删除了(火大)。

于是,删文件,还顺带解决了问题。

解决方案:

执行netstat -ltnp,可以看见一个奇怪的进程名在监听52335端口(忘记截图了,端口可能会不一样),先把这个进程kill掉,再执行下面的步骤。

1.  du -b zwmdcg(其中一个文件的名字)获取到文件的大小;

2.  find ./ -size  4099324c -type f -exec rm {} \;;(查找并删除文件,可以先用查找文件   {} \;是{}+空格+;都是必要的,4099324换成文件实际大小)

3. crontab -l 查看定时任务,如果还有定时任务 crontab -r删除定时任务

4. kill kthreaddi进程。

5. 如果kthreaddi继续重启,反复执行2,3,4即可。

最后把防火墙什么的都检查一下,看后续会不会再被黑吧。

 

你可能感兴趣的:(java,linux,运维)