清除Linux挖矿病毒的经历(sysupdate, networkservice进程)

Qter

sysupdate 系统更新？？
networkservice 网络服务？？？

上阿里云管理控制台看看CPU占用率，占用率直接100%，再看看CPU以及内存的记录，已经被占领两三天了，阿里云也没有告警。

清除的过程

使用top已经知道了进程号，接下来看看位置，命令ls -l proc/{进程号}/exe

1. [root@VM_0_15_centos cron]# ls -l /proc/2835/exe
   
2. 
   
3. lrwxrwxrwx 1 nobody nobody 0 Jun 30 12:31 /proc/2835/exe -> /tmp/sysupdate
   
4. 
   
5. [root@VM_0_15_centos cron]# ls -l /proc/28127/exe
   
6. 
   
7. lrwxrwxrwx 1 nobody nobody 0 Jun 30 15:31 /proc/28127/exe -> /tmp/networkservice
   
8. 
   
9. [root@VM_0_15_centos cron]# ls -l /proc/28137/exe
   
10. 
    
11. lrwxrwxrwx 1 nobody nobody 0 Jun 30 15:31 /proc/28137/exe -> /tmp/networkservice

复制代码

sysupdate、networkservice都在/tmp/目录下

到tmp下，除了sysupdate、networkservice 同时还有sysguard、update.sh、config.json，找到了源头update.sh



删除定时任务
rm /var/spool/cron/root 或crontab -r

杀掉进程 删除文件
首先杀进程，kill -9 {进程号}，然后删除文件
直接删除sysupdate你会发现无法删除，因为一般病毒会使用chattr +i命令，我们使用chattr -i sysupdate，然后再 rm -f sysupdate 即可正常删除。
chattr -i sysupdate
rm -rf sysupdate
同理删除networkservice、sysguard、update.sh、config.json。

/root/.ssh/authorized_keys 删除或修复
———————————————
rm -fr authorized_keys
rm: cannot remove ‘authorized_keys’: Operation not permitted
chattr -i authorized_keys
-bash: chattr: command not found
yum -y install e2fsprogs
安装不上
复制一个过去

scp /drives/c/chattr root@192.168.1.2:/usr/bin/chattr
scp /drives/c/lsattr root@192.168.1.2:/usr/bin/lsattr