说明: 我是研发,不是专业安全人员,以下提供的信息和处理步骤,都是公司同事一起摸索的,供大家参考:
1. 涉及到的问题进程名称为: ksoftirqds, watchdogs,杀死这两个进程; //从阿里云进程监控看到的。
2. 屏蔽
thyrsi.com,
pastebin.com,
minerxmr.ru 三个域名;
3. 使用 @
mingxulin 的命令,清空锁定 crontab, 防止再次被修改;
4. 去掉 watchdogs 的开机启动; //chkconfig --del watchdogs , 最好也检查下所有开机启动方式的设定。
3. 删除 watchdogs 文件: /etc/init.d 和 /usr/sbin/ 下面的 watchdogs 文件;
4. 删除 /etc/ld.so.preload 的内容; // 直接看不到这个文件, 直接 vi 这个文件,dd 删除内容,wq!强制保存退出,是可以删除内容的。
5. 删除 /usr/local/lib/
libioset.so 文件; //步骤 4 完毕后,就可以进行步骤 5;
6. 重启主机,解除 crontab 锁定,观察一段时间。 // 如果 sh 命令还是处于感染状态,那么自己 找个 正常的 替换 。
供上面的同学参考.
@
blubillow @
Alfred328 @
lifh1221 。
感谢 @
yuedingwangji @
mingxulin。