tzwsoho 最近的时间轴更新
tzwsoho

tzwsoho

V2EX 第 116030 号会员,加入于 2015-05-09 15:00:16 +08:00
tzwsoho 最近回复了
2019-05-05 14:59:37 +08:00
回复了 guanhui07 创建的主题 Linux 求助,服务器 crontab 被人异常加入挖矿脚本
另外我遇到的病毒还会在硬盘上所有 jquery*.js 的末尾加上一行代码
find / -name 'jquery*.js'
找出硬盘上所有相关文件,然后删掉这行代码
2019-05-05 14:55:25 +08:00
回复了 guanhui07 创建的主题 Linux 求助,服务器 crontab 被人异常加入挖矿脚本
CentOS 6.9 Final 同样中毒,症状是 wloq 进程 CPU 100%。。
我的处理是先把 /bin/sh 改名成 /bin/sh_ex,然后 /etc/hosts 加入
127.0.0.1 w.3ei.xyz
127.0.0.1 w.21-3n.xyz
以上两步可以禁止脚本继续执行
kill -9 `pidof httpdz`
kill -9 `pidof migrations`
kill -9 `pidof pvds`
kill -9 `pidof wloq`
kill -9 `pidof initdz`
chattr -i /etc/httpdz /etc/wloq /etc/initdz /etc/pvds /etc/migrations
rm -f /etc/httpdz /etc/migrations /etc/pvds /etc/initdz /etc/wloq
然后
chattr -i /var/spool/cron/root
chmod a+s /var/spool/cron/root
vi /var/spool/cron/root
:%d
:wq
清空计划任务
chattr -i ~/.ssh/authorized_keys
chmod a+s ~/.ssh/authorized_keys
vi ~/.ssh/autorized_keys
在带有 Administrator@Guess 的那一行按 dd 删掉
:wq
这样基本就把挖矿病毒清理完了
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2840 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 10ms · UTC 12:55 · PVG 20:55 · LAX 04:55 · JFK 07:55
Developed with CodeLauncher
♥ Do have faith in what you're doing.