C/C++教程

记录一次centos系统查杀挖矿病毒

本文主要是介绍记录一次centos系统查杀挖矿病毒,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

top查看病毒进程的相关信息

注:已使用 kill -s STOP pid 命令来强制睡眠该进程

查看进程文件目录,发现已被删除

使用systemctl status命令查看相关信息

注:在CGroup中的相关进程中,还有一个和病毒进程名称类似的进程,记住pid,最后这个也要杀死

查看定时任务相关信息

检查该文件发现内容为空:

检查其他cron目录

查看这个0systemd开头的文件:

对发现的病毒执行代码进行解码(base64 -d)

检查图片中url的位置,基本上都是位于欧美的服务器

根据文件内容,检查相关目录,并删除对应文件

还要把/tmp/.X11-unix/11这个文件删除掉:

在hosts表中添加如下内容,将对方地址解析到本机防止再次被下载病毒程序

127.0.0.1    dns.digitale-gesellschaft.ch
127.0.0.1    doh.li
127.0.0.1    doh.pub
127.0.0.1    fi.doh.dns.snopyta.org
127.0.0.1    hydra.plan9-ns1.com
127.0.0.1    resolver-eu.lelux.fi
127.0.0.1    dns.hostux.net
127.0.0.1    dns.twnic.tw
127.0.0.1    doh-fi.blahdns.com
127.0.0.1    resolver-eu.lelux.fi
127.0.0.1    doh.li
127.0.0.1    dns.digitale-gesellschaft.ch

终止进程(包括之前说的另一个异常进程)

这篇关于记录一次centos系统查杀挖矿病毒的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!