Qdefgh挖矿病毒查杀

我烦死了啊！！！！

【第一 先看看】

top

发现挖矿病毒的进程是 Qdefgh

（2）看看

sudo ls -al /proc/22624

发现位置是 exe -> /tmp/Qdefgh

（3）看看看

sudo su

cd /tmp

ls -al

发现 昨天下午两点半出现了 Qdefgh 这个文件，

今天凌晨两点开始出现了 Qdefgh.txt 这个文件

emmmmmm

（4）踢掉所有用户。。

踢掉所有用户：

who
who am i
pkill -kill -t pts/1
pkill -kill -t tty1

额，踢掉自己之后就重新登陆。

（5）看看看看看

lsof -p 22624 查看这个进程的所有相关文件

[root@aaaaaa tmp]# lsof -p 22624
COMMAND   PID USER   FD      TYPE  DEVICE SIZE/OFF       NODE NAME
Qdefgh  22624 root  cwd       DIR   253,1     4096   50331840 /home/aaaa
Qdefgh  22624 root  rtd       DIR   253,1      254        128 /
Qdefgh  22624 root  txt       REG   253,1  2934708    8021247 /tmp/Qdefgh
Qdefgh  22624 root  DEL       REG    0,16             7225247 /anon_hugepage
Qdefgh  22624 root  DEL       REG    0,16             7222263 /anon_hugepage
Qdefgh  22624 root  DEL       REG    0,16             7223926 /anon_hugepage
Qdefgh  22624 root  DEL       REG    0,16             7223112 /anon_hugepage
Qdefgh  22624 root  DEL       REG    0,16             7221897 /anon_hugepage
Qdefgh  22624 root  DEL       REG    0,16             7221824 /anon_hugepage
Qdefgh  22624 root  DEL       REG    0,16             7223571 /anon_hugepage
Qdefgh  22624 root  mem       REG   253,1      127   12583446 /usr/share/zoneinfo/UTC
Qdefgh  22624 root    0u      CHR     1,3      0t0       1043 /dev/null
Qdefgh  22624 root    1u      CHR     1,3      0t0       1043 /dev/null
Qdefgh  22624 root    2u      CHR     1,3      0t0       1043 /dev/null
Qdefgh  22624 root    3u     sock     0,9      0t0    7196819 protocol: TCP
Qdefgh  22624 root    4r      REG     0,4        0 4026532026 /proc/stat
Qdefgh  22624 root    5u     sock     0,9      0t0    7221103 protocol: TCP
Qdefgh  22624 root    6u  a_inode    0,14        0      11873 [eventpoll]
Qdefgh  22624 root    7r     FIFO    0,13      0t0    7221634 pipe
Qdefgh  22624 root    8w     FIFO    0,13      0t0    7221634 pipe
Qdefgh  22624 root    9r     FIFO    0,13      0t0    7221635 pipe
Qdefgh  22624 root   10w     FIFO    0,13      0t0    7221635 pipe
Qdefgh  22624 root   11u  a_inode    0,14        0      11873 [eventfd]
Qdefgh  22624 root   12w      REG   253,1   269232    8067394 /tmp/Qdefgh.txt
Qdefgh  22624 root   13u  a_inode    0,14        0      11873 [eventfd]
Qdefgh  22624 root   14u  a_inode    0,14        0      11873 [eventfd]
Qdefgh  22624 root   15r      CHR     1,3      0t0       1043 /dev/null
Qdefgh  22624 root   16u     IPv4 7562068      0t0        TCP aaaaaa:41068->static.6.196.161.5.clients.your-server.de:dnp-sec (ESTABLISHED)

【第二 干掉】

干掉：

kill 22624
rm -rf /tmp/Qdefgh
rm -rf /tmp/Qdefgh.txt

之后top一下，cpu占用率下来了就好。

======================

【第三 预防】

预防：

禁用root的ssh登录，以后变成登录自己账户之后再su。

方法是修改 /etc/ssh/sshd_config

PasswordAuthentication no
PermitRootLogin no

【第四 参考了这些。。】

参考：https://www.cnblogs.com/jjdiaries/p/3365858.html

参考：https://zhuanlan.zhihu.com/p/550511862