这是一个创建于 2917 天前的主题,其中的信息可能已经有所发展或是发生改变。
CentOs 服务器 一直 有这个 进程(比特币挖矿程序)
kill 了马上又出现 请问 如何彻底删除它呢?
 |
1
hlg002 OP 3694 root 20 0 238m 7624 1244 S 100 0.4 39:42.89 /usr/bin/xl2tpd -B -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB -p x
|
|
2
hlg002 OP 1 、删除、卸载了 xl2tpd ,后又会出现
2 、全盘 搜索"43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB" 字符串中 3 、 stackoverflow.com 、 github 、 google 搜了 2 小时 没发现任何有效解决方案 |
 |
3
catror 2016-11-20 14:02:40 +08:00 via Android  1
看下父进程是哪个,把父进程给干了
|
 |
4
lzmbbg 2016-11-20 14:02:43 +08:00 1
你的 kill 和 ls 这些都是干净的?
|
 |
5
sudo123 2016-11-20 14:05:08 +08:00 1
不是挖比特币的,是挖门罗币( xmr )的,肯定装了相关的挖矿软件,卸载相关的挖矿软件试试, http://minexmr.com/#getting_started
|
 |
6
shanks 2016-11-20 14:05:21 +08:00 1
= =! 还有这种东西。。
当然是看父进程啊,找到根源。。 另一种比较快捷的方法, chmod -x ... |
 |
7
sunsol 2016-11-20 14:15:16 +08:00 1
root 权限运行的,除非确定是自己装的,否则只有重装才能保证安全。
|
 |
8
kiuyu 2016-11-20 14:27:09 +08:00 1
之前遇到类似的问题。看了一哥们写的解决方法 [http://r4bb17.com/minerd-clean/]( http://r4bb17.com/minerd-clean/),服务器被添加了定时任务和异常服务,你参考参考。
|
|
10
hlg002 OP 1
|
|
11
catror 2016-11-20 15:01:08 +08:00 via Android 1
@hlg002 点到了感谢……感觉很可能是这样的,有一个定时任务,每次调用的时候开启挖矿进程后自己就退出,然后挖矿进程就会被 init 领养…
|
 |
12
realpg 2016-11-20 15:14:42 +08:00 1
连基础 linux 能力都没有 还是重装系统吧
|
 |
13
jimzhong 2016-11-20 15:23:27 +08:00 1
重装系统吧
|
 |
14
vainly 2016-11-20 15:48:47 +08:00 1
把它的执行权限取消了。
|
 |
15
28ms 2016-11-20 16:41:49 +08:00 1
只有重装一条路
|
 |
16
annielong 2016-11-20 17:12:54 +08:00 1
感觉 linux 挂马点比较少, windows 挂马的地点比较多,只是 linux 中挂载点特别熟悉的人不多,
|
 |
17
hasdream 2016-11-20 17:47:32 +08:00 via Android 1
中过一次这样的
一般感染系统命令,劫持 network 服务, 处理思路:还原 network 服务文件 先系统加 i 表示的所有文件 |
 |
18
eoo 2016-11-20 17:56:11 +08:00 via Android 1
肯定是安装了什么软件
|
|
19
hasdream 2016-11-20 20:56:44 +08:00 1
http://git.oschina.net/finy/temp_files/blob/master/查杀 linux 后门跑虚拟货币程序.md?dir=0&filepath=查杀 linux 后门跑虚拟货币程序.md&oid=3fa3ffe9e8b9ddc73e50b6d497f09af5d2f88615&sha=8cbea5b4d6cfd3ea91c3b096acb895bf4345f4d0
|
 |
20
BSD 2016-11-20 21:30:55 +08:00 1
遇到这种问题,最好是光盘版 linux 启动后,检查已安装包的完整性和各启动脚本。
|
 |
21
soland 2016-11-20 21:37:47 +08:00 1
|
 |
22
DesignerSkyline 2016-11-20 22:03:53 +08:00 1
重装吧。。 Linux 下的木马很难完全清理干净
|
 |
23
5UESxM1SED56K25z 2016-11-20 22:53:00 +08:00 1
挖门罗币的 哇哈哈哈哈
|
 |
24
ayiis 2016-11-20 22:59:46 +08:00 1
在 linux 下染上了木马没有任何办法,搞不好 gcc 都被植入了木马代码,重装是条明路
|
 |
25
v2what 2016-11-20 23:16:10 +08:00
重装系统吧
|
 |
26
twl007 2016-11-21 00:05:31 +08:00 via iPhone 1
用软件包管理器对所有的软件校验一下吧 看看哪些被修改了
|
 |
28
rhen 2016-11-21 00:31:50 +08:00 via Android 1
重装前记得找到木马的入口,不然几天后,
|
 |
30
msg7086 2016-11-21 08:51:04 +08:00 1
如果是服务器 —— 备份后重装。
如果是个人电脑 —— 备份后择日重装。 只要木马是用 root 权限运行的,那就没有能完全清除木马的办法了 —— 除非完全覆盖每一个文件,也就是我们说的重装。 |
 |
31
bianchensz 2016-11-21 09:00:58 +08:00 1
竟然没人回复 rm -rf /*
|
 |
33
FreeDog 2016-11-21 15:01:59 +08:00
可能 ps ls chmod 之类的命令都被篡改了呢
|
 |
34
quix 2016-11-23 14:02:48 +08:00
这种跑币外挂有没有可能获取到 id 信息呢?
|
Select Language