记录_第一次解决挖矿程序入侵问题( 二 ) _面板

由内容可知，top命令被篡改桥接，原top文件已被命名为：top. 。并且，在top面板上隐藏了名为ddns、httpd的程序
3、恢复top面板
思路：恢复top面板的步骤是将原top文件恢复。现在，原top文件名为top.，只要将现在的top文件删除，再将top.文件重命名为top即可。
3.1、操作
（1）、在此之前，先做好文件的备份：
cp top top.bakcp top.lanigiro top.lanigiro.bak
（2）、将top命名为top.rm
mv top top.rm
（3）、系统提示：无权限修改！
（4）、我们通过命令发现我们的top被加了锁，通过命令解锁，上述提到过！
chattr -i top
（5）、Top面板成功恢复！可以删除刚才的备份文件
mv top top.rmmv top.lanigiro top
上述步骤将top面板恢复，接下来可以查看病毒想在top面板上隐藏的内容：
4、top面板恢复后，我们再次查看top面板
展示出了2个隐藏的进程 .ddns
top进入面板输入C（展示运行命令）、输入P（展示按CPU排序），
发现在/var/tmp/./…目录下运行着名为ddns的隐藏可执行程序，占用CPU空间，并且启动用户居然为root！
接下来进入到上述目录：
cd /var/tmp/.crypto/...
考虑到该病毒隐藏文件惯用手法，使用ll -a命令查看，发现：
这就是挖矿程序的运行目录！此目录下，ddns的用户为lsb，先记着稍后再处理。同时有ddns.log文件，看一下日志内容：
5、病毒清理
注意：以下操作涉及修改、删除文件记得备份！备份方式 cp重命名.bak
1、删除可疑用户lsb的登录key，进入目录：/home/lsb/.ssh，发现目录下的文件加了锁
2、则先通过命令解锁。
chattr -ai authorized_keyschattr -ai authorized_keys2
3、然后删除用户lsb在home中的目录
rm -rf /home/lsb
4、删除执行目录：rm -rf /var/tmp/.
5、通过rm命令清理/etc/cron.d/zzh文件
6、杀进程
kill -9 .ddns进程的进程号（PID）kill -9 httped进程的进程号（PID）
注意：
该病毒入侵可由Redis端口扫描入侵，因此Redis密码切记设置复杂些，禁止应用无密码‘裸奔’ 。内存无法释放时，使用进行服务器重启。
这下,我感觉应该解决了叭，这些个违法分子，属实可恶啊！