学海无涯学海无涯

I am a slow walker,
but i never walk backwards.

清除linux DDG挖矿病毒过程

清除定时任务:

chattr -ai /var/spool/cron
chattr -ai /var/spool/cron/root
chattr -ai /etc/crontab
crontab -r 

sysupdate,networkservice以及一些伴生文件sysguard、update.sh,config.json都在/etc/下,同样的,除锁,删文件:

chattr -i /etc/networkservice
rm -rf /etc/networkservice
chattr -i /etc/sysupdate
rm -rf /etc/sysupdate
chattr -i /etc/sysguard
rm -rf /etc/sysguard
chattr -i /etc/update.sh
rm -rf /etc/update.sh
chattr -i /etc/config.json
rm -rf /etc/config.json

然后干掉进程,利用top就能看到networkservice,sysupdate的PID,然后:

kill -9 PID号

在/tmp下有一个kdevtmpfsi,这个也是病毒带来的:

chattr -i /tmp/kdevtmpfsi
rm -rf /tmp/kdevtmpfsi

最好直接清空/tmp目录,确保没有残留文件。
顺便清除掉 .ssh/authorized_keys内陌生的主机,因为没有设置这个,就直接清空了。

chattr -i /root/.ssh/authorized_keys
echo "" > /root/.ssh/authorized_keys

最后修改回来被病毒修改的文件:

mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl
本原创文章未经允许不得转载 | 当前页面:学海无涯 » 清除linux DDG挖矿病毒过程

评论