挖矿病毒处理记录

1.top查看挖矿病毒运行的进程，cpu一般占用很大比例

2. cd  /var/spool/cron

到里面去看是否多了www或其他的定时任务文件

3.   cd  /tmp

　然后 ll 查看一下，最近建的文件

   挖矿程序一般都放这里面

4.查看项目public或其他地方 是否有新增远程调用文件（一般php文件）或注入代码

处理：

1.kill掉top里高cpu的进程

　　

[root@localhost tmp]# ps -ef | grep www | grep -v php | more
www 2635 1 99 22:01 ? 00:08:25 ./sysupdate
www 2686 1 99 22:01 ? 00:05:52 ./networkservice 15
root 4491 29554 0 22:05 pts/3 00:00:00 grep --color=auto www
www 26566 1 0 Apr11 ? 00:00:06 ./sysguard
www 31533 6836 0 22:00 ? 00:00:00 nginx: worker process
www 31563 6836 0 22:00 ? 00:00:00 nginx: worker process
www 31752 6836 0 14:30 ? 00:00:02 nginx: worker process
www 31761 6836 0 14:30 ? 00:00:02 nginx: worker process
[root@localhost tmp]# kill -9 2635
[root@localhost tmp]# kill -9 2686
[root@localhost tmp]# kill -9 26566

2.删除定时任务

[root@localhost tmp]# cd /var/spool/cron
[root@localhost cron]# ls
root www
[root@localhost cron]# cat www
*/30 * * * * sh /tmp/update.sh >/dev/null 2>&1
[root@localhost cron]# rm -f www

3.删除 tmp里的病毒脚本。 碰到删除不掉的可以先  chattr -i  update.sh ，再  rm -f update.sh

[root@localhost tmp]# ll | grep -v sess
total 5548
-rwxrwxrwx. 1 www www 3356 Apr 11 10:45 config.json
-rw-r--r--. 1 www www 2 Apr 12 22:00 kdevtmpfsi
-rwxrwxrwx. 1 www www 2584072 Apr 11 10:45 networkservice
-rw-r--r--. 1 www www 2 Apr 12 22:00 redis2
-rwxrwxrwx. 1 www www 1929480 Apr 11 10:45 sysguard
-rwxrwxrwx. 1 www www 1102480 Apr 11 10:45 sysupdate
-rw-r--r--. 1 www www 7 Apr 12 22:00 sysupdates
-rwxrwxrwx. 1 www www 37659 Apr 12 22:00 update.sh

4.删除项目里的脚本，然后必须给大点权限的：文件权限都设置 644    目录都设置755    runtime 可以设置 777

5. 查看bash，设置不可登陆

　　

[root@localhost cron.hourly]# cat /etc/passwd | grep bash
root:x:0:0:root:/root:/bin/bash
www:x:998:1000::/home/www:/bin/bash
mysql:x:997:1001::/home/mysql:/bin/bash
[root@localhost cron.hourly]# usermod -s /sbin/nologin www
[root@localhost cron.hourly]# usermod -s /sbin/nologin mysql

6.补漏洞：

　　①修复thinkphp的漏洞，参考链接：https://blog.thinkphp.cn/869075

　　

　　②禁用php里的高危函数

　　　　找到php.ini     whereis php.ini

　　　   编辑php.ini      比如我的   vim  /usr/local/php/etc/php.ini

              添加：disable_functions = phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

　　　　禁用eval函数： 

　　　　举例 PHP 7.0.19 　　

下载PHP_diseval_extension 

github下载地址为 https://github.com/mk-j/PHP_diseval_extension 

然后进入到PHP_diseval_extension/source (看清楚是里面的source目录里),然后执行正常的扩展的安装命令

在扩展包目录内执行  /usr/local/php/bin/phpize (换成自己的php安装目录)
在扩展包目录内执行 ./configure --with-php-config=/usr/local/php/bin/php-config
执行make && make install

打开php.ini文件,配置重启PHP

extension=diseval.so

　　　　参考：https://www.cnblogs.com/redfire/p/7695310.html

　　　　　　　　https://www.jianshu.com/p/75c9ccb68c45

　　　　

        ③修改nginx配置，只让index.php为入口

　　　　# location ~ .php {
　　　　location ~* (index.php) {

　　　　　　　fastcgi_pass 127.0.0.1:9000;

　　　　　　　。。。。。

            }