记一次Linux挖矿程序解决经历

【记一次Linux挖矿程序解决经历】注意：线上当时没截图，以下截图均为解决问题后截取的。
使用top命令可看到CPU使用180%~200% 。
$ top
使用free -m 查看内存使用情况，此时内存并没多少占用。
$ free -m
系统符合被挖矿特征，同时阿里云控制台也检测到疑似被挖矿程序入侵。
首先通过top命令可以查看到进程的pid：
可以通过ls -l /proc/xxx/exe命令查找到进程对应资源的位置，xxx表示进程的pid 。
# xxx为pid$ ls -l /proc/xxx/exe
查找到文件位置之后，就可以kill掉问题进程：
# pid为问题进程的pid$ kill -9 pid
此时可以去对应的资源路径删除对应的资源，但是木马文件一般删除不掉，因为修改了属性。

文章插图
扩展知识点：和
和用来改变文件、目录属性和查看这种文件属性；chmod只是改变文件的读、写、执行权限，更底层的属性控制是由来改变。
文件隐藏属性
此时通过命令查看文件权限：
# fileName为文件名称$ lsattr fileName
这个是正常的文件，当时病毒文件还有a、i属性，所以不能直接使用他们rm -rf删除。
如下图：
删除文件前必须先需要去除a、i属性，所以使用命令去除属性。
# fileName为文件名称$ chattr -a fileName$ chattr -i fileName
但此时很意外，居然提示：
刚开始还以为是真的权限不足，到处去查权限，走了不少弯路。后台才发现，这病毒作者真狗！
查看位置：
$ whereis chattr
查看文件内容：
$ cat /usr/bin/chattr
!!!
知道这作者有多那啥了吧。后来找到另外一个正常系统的文件，想把正常内容替换到病毒文件中。
但是！文件也被设置了a、i隐藏属性！这…这不是套娃了嘛。
再后来将正常的文件重命名为，复制到问题系统的/usr/bin/中，再使用
$ chattrNew -a chattr$ chattrNew -i chattr
就可以删除文件了，
$ rm -rf /usr/bin/chattr
然后再将文件重命名为：
$ mv /usr/bin/chattrNew /usr/bin/chattr
现在，命令就可以正常使用了！
再使用命令去掉病毒文件的a、i属性：
$ chattr -a fileName$ chattr -i fileName
现在就可以删除病毒文件了！大功告成！