云服务器ECS挖矿木马病毒处理和解决方案

最近由于网络环境安全意识低的原因，导致一些云服务器ECS中了挖矿病毒的坑。

总结了一些解决挖矿病毒的一些思路。由于病毒更新速度快仅供参考。

1、查看cpu爆满的进程

cpu占用率 100%, 用top 查看cpu100

2、杀死进程

kill -9  pid

杀死进程后，过一分钟该进程又起来了

或者

删掉此进程 cpu还是 100%

3、估计是进程被隐藏了或者有守护进程 直接杀死不生效。

4、定时任务多了一个执行任务

crontab -l  发现有定时任务：

5、 打开定时任务链接获取如下内容

6、打开链接获取Base64字符串

7、用Base64解码此内容得到如下脚本内容

8、根据此脚本最终解决方案

A:先把定时任务删除掉

rm -rf /etc/cron.d/root

rm -rf /var/spool/cron/crontabs

rm -rf /bin/sh /var/spool/cron/root

B:删掉重启系统后执行脚本

rm -rf /bin/httpdns

C：删掉挖矿执行脚本

rm -rf /tmp/kworkerds

D: 删除修top显示命令的脚本 （导致top查询不处理此挖矿进程）

rm -rf /usr/local/lib/libntp.so

E:删除python执行文件

rm -rf /tmp/.tmpa

F: 再用Top命令，就可以找出此耗cpu进程

kill 掉此进程

9、修改redis 密码，最好修改bind 为127.0.0.1 Redis密码一定要设置并且负责一些

最后实在不行： 换一个服务器吧，为了安全性。