服务器前前后后中过两次毒,都是挖矿病毒第一次是因为redis的漏洞,第二次是因为jenkins的漏洞。top 可以看到病毒程序占用大量CPU。处理思路都大同小异。
1,关掉病毒远程服务器访问权限
iptables -A INPUT -s pastebin.com -j DROP
iptables -A OUTPUT -d pastebin.com -j DROP
crontab -l 查看所有定时任务在病毒创建的定时任务中可以看到服务器网址
2,find / -name watchbog 搜索病毒所在文件夹
3,chmod -x watchbog 移除文件执行权限
4,kill 掉病毒进程
5. service stop crond 或者 crontab -r 删除所有的执行计划
6. 执行top,查看了一会,没有再发现minerd 进程了
删除步骤可以写成脚本方便执行。
参考博客
https://www.cnblogs.com/uglyliu/p/6442427.html
病毒分析文章