1.kswapd0挖坑病毒

# 1.检查cpu现已拉满
top  
# 6885 vboxuser  20   0 2501968   2.3g      4 S  1429  3.7 113138:14 kswapd0
# %CPU 1429
# 2. 检查kswapd0 的ip
netstat -antlp | grep kswapd0
#tcp        0      1 192.168.0.13:40346      45.9.148.234:80         SYN_SENT    6885/./kswapd0
#tcp        0      0 192.168.0.13:45484      45.9.148.236:443        ESTABLISHED 6885/./kswapd0
# 显现的是国外的ip
# 3. 检查进程概况
ll /proc/6885
# lrwxrwxrwx  1 vboxuser vboxusers 0 Apr 12 01:26 exe -> /home/vboxuser/.configrc5/a/kswapd0
# 找到要害信息 履行指令脚本方位
# 4. 检查进程空间信息
ps -ef | grep kswapd0
# root       105     2  0 Mar05 ?        00:11:13 [kswapd0]
# root      5535 27210  0 09:40 pts/1    00:00:00 grep --color=auto kswapd0
# vboxuser  6885     1 99 Apr09 ?        78-15:06:07 ./kswapd0
# 5. 删去木马的脚本
rm -rf /home/vboxuser/.configrc5
# 6. 铲除守时使命
crontab -l # 检查是否有使命
crontab -e # 修改并铲除
# 7. 杀死kswapd0相关进程
kill -9 6885
kill -9 105
# 8. 查询并杀死有问题的作业程序
ps aux | grep cron
kill -9 xxx
# 9. 检查 ssh秘钥登录是否被篡改 
vi .ssh/authorized_keys # 修改有歧义的账户秘钥信息
# 10. 修复原服务器的密码

2.kdevtmpfsi挖矿病毒

经过守时使命守时杀死病毒进程

# 1.检查cpu现已拉满
top   
# 2. 检查进程空间信息,的确存在
ps -ef | grep kdevtmpfsi
# 3. 创脚本
vim /tmp/kill_kdevtmpfsi.sh
#输入守时指令
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
# 4. 给予履行权限
chmod 755 /tmp/kill_kdevtmpfsi.sh
# 5. 先手动履行一下,杀一遍进程
/tmp/kill_kdevtmpfsi.sh
# 加入守时使命
crontab -e
#输入内容
*/1 * * * * /tmp/kill_kdevtmpfsi.sh
# 保存退出

3. watchdogs病毒


# 1.检查cpu现已拉满
top 
# 2. 检查进程watchdogs ,一般watchdog正常,watchdogs是病毒
ps -ef|grep watchdogs
# root      4513 48344  0 16:40 pts/1    00:00:00 grep --color=auto watchdogs
# user1    63646     1 39 Apr13 ?        23:04:04 ./watchdogs ssh failed kthread watchdog
# user1    65297     1 37 09:39 ?        02:38:48 ./watchdogs ssh failed kthread watchdog
# 3. 处理用户
# user1 用户现已暴露,假如用户没有哦重要信息,直接删去
userdel -r user1
# 提示用户被进程38188 占用
# userdel: user user1 is currently used by process 38188
#杀掉 38188
kill -9 38188
# 找出当前用户相关的一切进程
pgrep -u user1
# 38188
# 58794
# 50457
ps -f --pid $(pgrep -u user1) 显现概况
# user1    38188     1 39 Apr13 ?        Sl   1388:20 ./watchdogs ssh failed kthread watchdog
# user1    58794     1 37 09:39 ?        Sl   162:25 ./watchdogs ssh failed kthread watchdog 
# user1    50457     1 37 09:39 ?        Sl   132:25 ./watchdogs ssh failed kthread watchdog 
# 杀死一切相关进程
ps -f --pid $(pgrep -u user1)  
# 再次删去用户
userdel -r user1 
# 4. 检查进程概况
ll /proc/63646
# lrwxrwxrwx  1 user1 user1 0 Apr 12 02:38 exe -> /dev/shm/watchdog
ll /proc/65297
# lrwxrwxrwx  1 user1 user1 0 Apr 15 09:39 exe -> /dev/shm/watchdogs
# 5. 删去木马的脚本
rm -rf /dev/shm/watchdog
rm -rf /dev/shm/watchdogs
# 6. 铲除守时使命
crontab -l # 检查是否有使命
crontab -e # 修改并铲除

建议与总结

  1. 翻开防火墙firewalld
  2. ftp 修改默认22端口
  3. 对外敞开的端口按需敞开
  4. 进步密码复杂度
  5. 修复系统漏洞
  6. 优先使用秘钥登录,少用账户密码登录