病毒入口 : 2375 端口 doker 的端口 redis 6379 也是一个入口 但是我这个是通过docker 进入 的

2375 别开…..!!!

1.首先查看 是什么在占用cpu

top 看不出来 啥都没有

安装busybox定位隐藏进程 (通过以下命令安装):

wget https://busybox.net/downloads/binaries/1.21.1/busybox-x86_64

chmod +x busybox-x86_64

mv busybox-x86_64 /usr/bin/busybox

执行busybox top就可以查看到隐藏的进程id

ls -l /proc/进程ID/exe 就可以 查看运行路径

找到文件 先删掉 杀死进程

2.检查 ~/.ssh

rm 删除不了

[root@localhost .ssh]# lsattr
----ia---------------- ./authorized_keys
----ia---------------- ./authorized_keys2

执行

chattr -ia  authorized_keys
chattr -ia  authorized_keys2

提示不允许的操作

因为这个 chattr 已经不是 chattr 了

https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c

上面连接 下载 chattr.c

使用命令"cc chattr.c"编译文件,得到文件 “a.out” ,将 “a.out”文件移动至“usr/bin/”目录下,并更名为“chattr2”

然后 使用 chattr2 就可以 解除 ia 了 就可以顺利删除了

3. 重启查看cpu 内存是否正常

我是感觉不太正常 我之前都是 3% cpu占用 现在都是 6% 我也不知道 为什么了 挖矿病毒应该没有在跑了