【安全】查杀linux挖矿病毒 kswapd0

1、中毒现象

高cpu占用，使用top命令检察cpu使用率长时间50%以上，cpu占用异常的历程八成就是挖矿病毒历程

此病毒隐蔽了自己，top命令无法检察到挖矿病毒历程，可通过sysdig命令找到隐蔽历程
1.1 安装sysdig

1. curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | bash

复制代码

检察cpu占用排行

1. sysdig -c topprocs_cpu

复制代码

1.2 通过历程Id检察病毒的文件地点

1. ls -l /proc/16959/exe

复制代码

然后找到对应的历程文件

该病毒有自动重启的任务，crontab -l 命令检察并清除定时任务
同时检查如下目录，将可疑文件清理掉

1. ls -a /root/.configrc
3. # 此目录下可能会有perl脚本，删除即可
4. ls -a /tmp

复制代码

1. rm -rf /root/.configrc/

复制代码

systemctl status pid
能查到子历程，一起kill掉

1. systemctl status pid

复制代码

注意，该历程有子历程spamd child，需要一同清理，否则会再次重启

清除～/.ssh/known_hosts里的可疑数据，修改root密码，避免使用弱密
2、安全建议

• 尽量用密钥连接服务器，禁用账号密码连接，修改默认的22端口。
  
• 封闭不使用的端口，做到用一个开一个（通过防火墙和安全组策略）
  
• 密码增强复杂性，别用什么 1q2w3e之类的，这些都的常用的破戒字典也有的。
  
• 实时修补体系和软件弊端
  

3、病毒种类

按照腾讯云报道，此次攻击为“亡命徒（Outlaw）僵尸网络”该僵尸网络最早于2018年被发现，其紧张特征为通过SSH爆破攻击目标体系，同时传播基于Perl的Shellbot和门罗币挖矿木马。以是大家肯定要修改好强悍的root密码。
【安全】查杀linux上c3pool挖矿病毒xmrig
【安全】查杀linux挖矿病毒 kswapd0
【安全】查杀linux隐蔽挖矿病毒rcu_tasked
【安全】挖矿木马自助清理手册

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。