彻底清除libiacpkmn.so.3挖矿病毒方法

   日期:2018-11-29     浏览:441     评论:0    
核心提示:最近您是否收到了同样的短信提醒,阿里云、腾讯云、百度云各种云最近都在发送这条短信,在一个多月前旭文网络就发现有一台我们代托管的服务器CPU占用高达90%以上,明显是被攻击!!随着虚拟货币的行情爆发,各种挖矿程序不断出现,而最近几个月出现的正是这款新型的Linux挖矿病毒:libiacpkmn;如果您的服务器不幸被植入了l

最近您是否收到了同样的短信提醒,阿里云、腾讯云、百度云各种云最近都在发送这条短信,在一个多月前旭文网络就发现有一台我们代托管的服务器CPU占用高达90%以上,明显是被攻击!!

随着虚拟货币的行情爆发,各种挖矿程序不断出现,而最近几个月出现的正是这款新型的Linux挖矿病毒:libiacpkmn;


如果您的服务器不幸被植入了libiacpkmn病毒,您可以通过以下办法进行处理


首先排查一下服务器的CPU是否飙升例如下图,cup占用高达99%:


通过linux命令(top)我们可以看到下图相关进程占用CPU情况

通过上图我们并没有发现占用cpu太多资源的进程,这是因为【libiacpkmn】病毒相关进程进行了隐藏我们可以进一步使用命令ps -aux --sort=-pcpu|head -10查找隐藏进程:

PID为14454的进程并不是我们自己运行得相关应用。对他就是【libiacpkmn】病毒运行程序。


既然找到了这个进程,我们可以通过命令:kill -9 14454 杀掉词此进程!到此并没有完成,就好比我们自己的pc电脑,你只是把相关运行的进程给关闭了,但是还没有卸载个程序。


我们进一步执行“卸载”步骤!

一般病毒文件都会设置定时任务,查看定时任务,crontab -l查看是找不到的。得看/etc/crontab文件。果然有任务在启动程序脚本 /usr/lib/libiacpkmn.so.3

通过vi命令来编辑此文件,删除这条记录!


接着,根据定时任务中暴露的可疑文件所在路径/usr/lib/libiacpkmn.so.3,彻底删除该脚本文件 rm -f /usr/lib/libiacpkmn.so.3 。

结果显示文件是被加了锁的,使用root用户去删除、mv、chmo/chown改权限,或者清空文件,任何操作都会报Permission denied(没权限):


因此需要确认文件是否加锁,lsattr命令查看,发现有一个 i 权限:lsattr命令介绍发现 【i】 权限如下:不能被删除、改名、设定连结、写入或新增数据;

使用命令撤销i权限:chattr -i libiacpkmn.so.3 


注意:如果不能使用chattr命令,就使用yum -y install e2fsprogs命令安装即可。

然后再检查文件权限,就没有i权限了。再删除文件成功:


各位抓紧通过上面的方法来处理一下服务器吧~



 
 
更多>同类好文分享
0相关评论

推荐图文
推荐好文分享
点击排行
Copyright©2010-2018 南京旭文网络科技有限公司 版权所有
电话/微信:18551733206