服务器被挖矿进程植入后,我的解决方法:

1.top命令,查看占用cpu找过100%的进程.

2.找到这个进程的进程id,此时不要kill,因为杀不死,先找到这个进程所在的位置,方法如下:    ls -l /proc/进程ID/exe

3.此刻我们知道这个进程所在位置了,比如是/tmp/mysqldd   看出来了么,和mysqld很像,这是伪装的,继续探究这个文件在哪里

4.find / -name *mysqldd*    找到他的路径,此刻就不慌了

5.找到对应位置,删除即可.虽然上述步骤4中得到地址不能直接rm -rf  但是可以cd 配合tab键,挖到它藏身的最底层,然后在删除所在的整个进程文件夹

补充:值得注意的是,这些进程伪装的都很隐秘,名字也很奇葩,比如:mysqld\aliyunDun\httpdd等,正常进程都不会占到太多cpu,更别说100%甚至200%了,而且这些进程都有守护进程,单纯的kill是杀不死的,因为都很机智的隐藏到系统程序模块里面.

阿里云官网介绍:

被隐藏的恶意模块一般有：raid.ko、iptable_mac.ko、snd_pcs.ko、usb_pcs.ko和ipv6_kac.ko。您可以使用 file /lib/udev/usb_control/恶意模块名，分别检查是否存在以上模块。找到了立马清除杀死它就行了.

当您发现内容错误或代码bug，以及下载链接无法使用等，请点击屏幕右下角的上报错误来进行提交，我们会尽快修正。
本程序所有源码和工具完全免费，当本网站内容如果侵犯了您的权益，请联系我们，我们会尽快处理，感谢您的合作。

收藏 分享

上一篇： CURL请求出现Failed to connect to 你的域名:443 Connection refused解决方法

下一篇： win10百度云网盘无法联网更新二维码

• windows激活工具
• Linux文件保护禁止修改、删除、移动文件等,使用
• phpStudy安装ssl(https)证书
• 安装composer并下载tp5