记一次简单的清理挖矿程序过程

Posted 2020-10-30

收到告警信息，有一台服务器被攻击，留下了挖矿程序。清理过程如下：

1、top命令找到可疑程序：

2、找到之后，就把这个程序kill掉了，但是过了一会儿，发现程序又自动起来了

3、怀疑有定时任务，于是查看定时配置，发现了可疑的配置：

4、注释掉定时任务（没有立即删除，先注释掉了）

5、重新杀掉新的libstdc进程

6、查找本地是否存在i.sh和libstdc文件，发现没有i.sh，有libstdc这个文件：

[[email protected] ~]# find / -name "i.sh"
[[email protected] ~]# find / -name "libstdc"
/etc/libstdc

7、删除/etc/libstdc文件。但是在文件删除时遇到了报错：

[[email protected] etc]# rm -rf libstdc
rm: cannot remove ‘libstdc’: Operation not permitted

查看了libstdc文件的权限，没有发现问题。rm命令也也没有发现被设置了别名。经过网上查询才知道可能是libstdc文件被设置了隐藏属性：

[[email protected] etc]# lsattr libstdc
----i--------e-- libstdc

去掉隐藏属性，再删除文件就可以了

[[email protected] etc]# chattr -i libstdc
[[email protected] etc]# rm -rf libstdc  
[[email protected] etc]#

8、检查进程，发现进程没有再起来了。

9、整个开了两个窗口，一个窗口删除进程、文件等操作，一个窗口随时关注程序是否自动起来。