top
2.根据该进程的PID来定位该进程的文件路径。
 3.在/root/目录下,通过ls -la查找隐藏的病毒文件夹。  4.进入/root/.configrc/病毒目录,查看发现存在大量病毒文件,以及kawapd0程序。  5.查看kswapd0的文件修改时间。
 6.根据kswapd0进程的PID查找相关的网络连接,发现有个一直与一个外网的45.9.148.58:80地址连接。
 7.通过微步搜索该IP地址,发现是个荷兰的IP,并且已经被用户标位矿池IP。  8.查看Linux服务器的定时任务,发现有大量与病毒文件相关的定时任务,需要全部删除。
 9.通过定时任务,定位/dev/shm/.X19273/.rsync目录的病毒运行文件。需要全部删除。  10.直接kill掉病毒文件运行进程。可以看到kill掉后,CPU就恢复正常了。
  11.分析病毒样本,发现会在/root/.ssh/目录下生成一个病毒公钥文件,黑客可以通过该公钥远程到此计算机来。  12.需要进入/root/.ssh/目录下删除病毒公钥文件   总结一下大致的处置流程: 1.直接kill掉kswapd0的进程ID,后续观察服务,然后 清理计划任务: crontab -e 2.删除/root/ 目录下的.configrc病毒文件夹 3.删除/root/ 目录下的.ssh病毒公钥文件夹 4.删除/tmp/.X25-unix/或/dev/shm/.X19273/病毒运行文件。 其实在定位到进程文件的时候,就在网上搜了下该病毒对应的处置思路。 |
6234160eff7356a8ea.png (173.61 KB, 下载次数: 74)
