Linux下挖矿程序解决办法

前言

因服务器无意间CPU高达96%，访问很慢；在排查问题的时候竟然发现了服务器被挂上了挖矿程序；
1、挖矿程序的名称列表：
networkservice
sysguard
update.sh
config.json
sysupdates
kow930kd
kow709kd

2、挖矿程序的日志名称列表
101_og
275_og
2_og
630og
sess*****

3、处理方法1) 使用top方法找到所有可疑文件进程的PID号2) #kill -9 $PID3) 找到文件所在目录，删除所有可执行文件 #ls -l /proc/$PID/exe4) #rm -rf networkservices 【分别删除,有多少删除多少】5) 删除/root/.ssh/authorized_keys #rm -rf /root/.ssh/authorized_keys 6) 删除/var/spool/cron/daemon #rm -rf /var/spool/cron/daemon7) 如果有系统命令被篡改，把命令改回原来状态#mv /bin/wge /bin/wget #mv /bin/cur /bin/curl 上述命令根据服务器情况修改8) 查看iptables防火墙挖矿程序修改的命令如下iptables -Fiptables -Xiptables -A OUTPUT -p tcp --dport 3333 -j DROPiptables -A OUTPUT -p tcp --dport 5555 -j DROPiptables -A OUTPUT -p tcp --dport 7777 -j DROPiptables -A OUTPUT -p tcp --dport 9999 -j DROPiptables -I INPUT -s 43.245.222.57 -j DROP上述端口在防火墙中查看是否存在，根据情况删除规则链；