[systemxlv] 一个该死的挖矿病毒——在linux上的解决方案

前言（废话）

最近沉迷linux，作为一个公司的前后端开发/产品/客服/运维，就在今天早上，客户告诉我网页打不开了，登录后台一看（top）满屏幕的systemxlv，直觉告诉我，狗日的挖矿程序又开始了。。。

解决方案

1. 首先去 /tmp(一般挖矿病毒的执行目录都在这里，然后发现systemxlv)

drwxrwxrwt  4 root root   4096 Dec 18 10:52 ./
drwxr-xr-x 23 root root   4096 Dec  7 06:13 ../
drwx------  3 root root   4096 Dec 18 10:52 systemd-private-135efe0ea2b24673a469f1a7f5c3cbcb-systemd-resolved.service-wxfhL3/
drwx------  3 root root   4096 Dec 18 10:52 systemd-private-135efe0ea2b24673a469f1a7f5c3cbcb-systemd-timesyncd.service-UKM8NL/
----------  1 root root 629120 Dec 18 10:41 systemxlv

2. 然后 /root 目录（发现两个可疑的家伙 ceurnadi libstdci）

drwx------  5 root root    4096 Dec 15 12:24 ./
drwxr-xr-x 23 root root    4096 Dec  7 06:13 ../
-rw-------  1 root root    2709 Dec 18 10:18 .bash_history
-rw-r--r--  1 root root    3106 Apr  9  2018 .bashrc
drwx------  2 root root    4096 Dec  3 10:24 .cache/
-rwxr-xr-x  1 root root    2057 Dec 15 12:24 ceurnadi*
drwx------  3 root root    4096 Dec  3 10:24 .gnupg/
-rwxr-xr-x  1 root root 1166228 Dec 15 12:24 libstdci*
-rw-r--r--  1 root root     148 Aug 17  2015 .profile
drwx------  2 root root    4096 Oct 24 18:04 .ssh/
-rw-------  1 root root    6924 Dec  3 20:55 .viminfo

3.把这三个权限置为000（不可读不可改不可执行 注意：使用root权限）

su
chmod 000 /tmp/systemxlv
chmod 000 /root/ceurnadi
chmod 000 /root/libstdci

4.假如发现Operation not permitted

chattr -i ceurnadi
chattr -i libstdci
chmod 000 /root/ceurnadi
chmod 000 /root/libstdci

5.然后

killall systemxlv
killall ceurnadi
killall libstdci

6. top 查看一下 应该已经好了 当然还有大量的残余sleep进程 等一会儿就好了

遇到的一些坑

目前 还不知道 为什么被挖矿 有知道的小伙伴麻烦下方留言 万分感谢！！！！