共计 1074 个字符,预计需要花费 3 分钟才能阅读完成。
今天一大早打开服务器,serverBox,突然发现我的一台物理机服务器CPU占用100%,要知道我这台服务器也就挂了个云崽和frp。
我赶紧打开宝塔页面查看
cpu占用直接拉满了,要知道我平时占用也就10%占用最多
我赶紧使用top -c 命令查看进程占用情况
发现一个名为syst3md的进程挂在第一位,占用也是及其恐怖。之后将该进程发给chatGPT进行分析,得出结论,这是一款挖矿病毒,并且在该目录下的config文件中复制代码给ChatGPT分析后更是石锤了这是一个挖矿的脚本病毒。
同时,对config文件中的ip以及端口进行访问,充分证实了该病毒是用于挖矿的。
之后对终端输入 crontab -r 命令清除全部的定时任务。
之后再使用sudo kill PID命令结束syst3md挖矿进程。 之前在top -c 中已经获知了该挖矿进程的pid。所以我们直接执行。
在结束该进程后服务器CPU占用恢复正常。
同时我们在top -c 中也查询到了该病毒所在的目录 既/usr/bin/.ICE-unix/.k/.file-2234A目录。
我们使用宝塔面板找到该目录直接将其删除。
同时syst3md文件发现是由用户adminis所创建的,这个账户是我装系统时创建的默认账户,平时不用这个,同时密码也很简单,应该是被暴力登录了后植入了病毒,所以在这里提醒各位,尽量不要使用过于简单的密码。同时我这台物理机也是使用了内网穿透,很用可能是因为使用的frp的默认端口导致的。所以之后我也对frp的端口进行了修改。
使用sudo passwd 用户名 对账户密码进行修改
之后我对服务器安装了 ClamAV( 一款免费的杀毒软件),并执行了 clamscan -r 对系统进程全盘扫描,看看有没有残余的病毒关联文件。
ClamAV 安装
- 更新软件包索引:打开终端,运行以下命令以获取最新的软件包列表:
sudo apt update
- 安装 ClamAV:在终端中运行以下命令以安装 ClamAV 及其相关组件:
sudo apt install clamav
- 更新病毒数据库:安装完成后,运行以下命令更新 ClamAV 的病毒数据库:
sudo freshclam
- 运行扫描:现在可以对服务器进行杀毒扫描了。可以使用以下命令运行全系统扫描(需要 root 权限):
sudo clamscan -r / --remove -l /var/log/clamav.log
这将递归扫描系统中的所有文件和目录并且将其受感染文件删除将其保存在clamav.log日志中。扫描完成后,ClamAV 将显示有关任何检测到的病毒或恶意软件的报告。
可以看见Clamav扫描到了7个感染文件。
