分享一則Linux系統郵件提示 /usr/local/lib/libprocesshider.so ＞ /etc/ld.so.preload 的中病毒解決方法

​ 系統環境：CentOS Linux release 7.6.1810 (AltArch)

                   CPU架構：ARM

            最近發現生產伺服器CPU佔用過高但是檢視程序卻沒有任何過高的程序，最高也才是1點多，而且系統經常收到root使用者傳送的郵件

最近發現生產伺服器CPU佔用過高但是檢視程序卻沒有任何過高的程序，最高也才是1點多，而且系統經常收到root使用者傳送的郵件​

​

所以有理由是懷疑中了挖礦病毒，檢視網路連線資訊（命令：netstat -napt）後發現一條疑似礦池的連線記錄​

然後去查詢這個IP地址發現是M國的一個地址，去到某服安全中心檢視這個IP果然是礦池地址無疑

​

​

結果某安的威脅中心查出來的結果也是一樣的

​

顯示結果跟網路連線中的資訊是一樣的，這下確定無疑了

首先根據root使用者傳送給系統的郵件內容的路徑去檢視檔案，

cat /etc/ld.so.preload

發現內容是/usr/local/lib/libprocesshider.so，是linux系統的一個連結庫，在這個檔案裡面寫下的地址系統在執行程式時會自動去這些個目錄裡面找需要的動態庫檔案，先刪除試一下

rm /etc/ld.so.preload

發現無法刪除，查詢資料後得知Linux系統還有一個叫檔案鎖定保護的命令，具體引數如下：

​

使用chattr命令解除鎖定然後刪除

chattr -i /etc/ld.so.preload

rm -rf /etc/ld.so.preload

然後再對/usr/local/lib/libprocesshider.so進行操作，直接一步到位，解除鎖定，然後刪除

chattr -i /usr/local/lib/libprocesshider.so

rm -rf /usr/local/lib/libprocesshider.so

執行成功，繼續下一步，檢視定時任務，並清理，查詢cron.d、cron.hourly、crontab目錄或檔案的異常

lockr -i /etc/cron.d/phps

rm -rf /etc/cron.d/phps

lockr -i /sbin/httpss

rm -rf /sbin/httpss

檢視/etc/crontab檔案內容,/etc/crontab是linux系統定時任務配置檔案所在，用vim編輯器刪除最後3行，最後3行就是病毒連結所在，還是一樣，不管有沒有，先解除鎖定，再修改

chattr -i /etc/crontab

vim /etc/crontab

檢視定時任務並修改

crontab -l

crontab -e

回顯提示crontab: error renaming /var/spool/cron/#tmp.localhost.localdomain.XXXXPL0tU3 to /var/spool/cron/root

rename: 不允許的操作

crontab: edits left in /tmp/crontab.IFed5j，說明/var/spool/cron/root，/tmp/crontab.IFed5j這兩個目錄檔案都有問題，跟定時任務是相關聯的，先清除這幾個檔案，防止上鎖，先解鎖，再刪除

chattr -ia /var/spool/cron/root

rm -rf /var/spool/cron/root

chattr -ia /tmp/crontab.IFed5j

rm -rf /tmp/crontab.IFed5j

進入到/tmp目錄下檢視是否還有其他的快取檔案，如果有，一併刪除（crontab -e所產生）

# 服務清理及自啟動清理，檢視/etc/rc.d/init.d/目錄，/etc/rc.d/rc.local檔案，/lib/systemd/system檔案

cd /etc/rc.d/init.d/ #無異常

cat /etc/rc.d/rc.local  #無異常

cd /lib/systemd/system  #發現異常服務檔案

vim pwnriglhttps.service

systemctl stop pwnriglhttps.service

systemctl disable pwnriglhttps.service

刪除服務

rm -rf pwnriglhttps.service

檢視系統hosts解析檔案有無異常，如有異常用vim編輯器修改

cat /etc/hosts

vim /etc/hosts

清理各目錄下的病毒檔案

rm -rf /usr/bin/.sh

rm -rf /bin/.sh

lockr -i /bin/.funzip

rm -rf /bin/.funzip

檢視/etc/profile檔案

cat /etc/profile

​

回顯顯示最後4行檔案有問題，用vim刪除

vim /etc/profile

發現目錄/etc/profile.d/下出現異常檔案：php.sh、supervisor.sh

檢視內容

cd /etc/profile.d/

cat php.sh

cat supervisor.sh

檢視supervisor.sh顯示/etc/.supervisor/supervisord.conf

刪除刪除php.sh，supervisor.sh，/etc/.supervisor/supervisord.conf

lockr -i php.sh supervisor.sh

rm -rf php.sh supervisor.sh

lockr -i /etc/.supervisor/supervisord.conf

rm -rf /etc/.supervisor/supervisord.conf

最後刪除/etc/.sh /usr/bin/.sh

chattr -ia /etc/.sh /usr/bin/.sh

rm -rf /etc/.sh /usr/bin/.sh

最後清除郵件並重啟

echo "d *" |mail -N

reboot

開機後檢視網路連線資訊發現剛開始的那條IP已經沒有了，說明殘留的病毒檔案已經清理完成

為了再次防止這個礦池來搞事情，最好在出口區域的安全裝置的對該地址及域名相關進行封禁

————本文為原創，轉載請稟明出處

​