.jpg)
一、ld-linux-x86-64.so.2挖矿木马,排查操作记录
登录Linux系统,使用`top`指令检查CPU使用情况,发现名为`ld-linux-x86-64`的进程占用200%的CPU,疑似挖矿木马。记录进程ID为7531,开始排查。
执行`pwdx 7531`命令,发现该进程执行目录为`/usr/local/games/.cache`。使用`find/-name"ld-linux*"`命令确认,该木马位于`/usr/local/games/.cache`目录下。
注意,`/usr/lib64/ld-linux-x86-64.so.2`是系统文件,避免误删导致系统异常。进入木马所在目录,发现其包含`cron.d`、`run`、`stak3/stakcentosold/stakubuntunew`等文件。
进一步排查潜在进程,使用`ps-x| grep cache`和`ps-x| grep games`命令。实践证实,存在下载木马文件至`games`目录和解压`cache`目录并删除下载包的潜在进程。
清理操作包括:删除木马所在目录`/usr/local/games/.cache`,终止进程ID为7531的木马进程。删除命令分别为`rm-rf/usr/local/games/.cache`和`kill-9 7531`。
删除潜在进程后,务必再次确认`/usr/local/games/.cache`目录已被彻底清除。若先删除木马,潜在进程可能在清理前重新下载并解压木马,确保全面清理,避免残留。
二、Linux服务器清除xmrig挖矿病毒详细教程
面对服务器CPU被占用的问题,发现是由于xmrig挖矿病毒入侵。单纯通过kill命令只是阻止了进程运行,但病毒文件未被彻底移除,导致病毒会反复重启。这里提供一个详细的清除教程。
首先,通过SSH远程连接服务器,这是基础操作,这里不再赘述。
登录后,使用top命令检查进程,你会看到进程ID为22220,进程名为xmrig,占据大量CPU资源,记下这个进程号。
接下来,通过find或ls-l命令(例如:find/-name xmrig或 ls-l/proc/进程ID/exe)定位病毒文件的存放位置。举个例子,病毒文件位于/root/moneroocean/xmrig,需要替换为你的实际路径。
一旦找到文件地址,就可以执行删除命令,如:rm-rf/root/moneroocean。请确保替换为你的病毒文件路径。
最后,使用kill命令加上之前记下的进程号,停止病毒进程的运行。
本文来自用户投稿,不代表币大牛资讯立场,如若转载,请注明出处:https://www.98xmw.com/zhis/11767.html
微信扫一扫 
支付宝扫一扫 
发表回复
评论列表(0条)