Centos下记一次如何清除挖矿程序

最近博主服务器CPU分分钟爆满了，今天抽空排查到了一个可疑的进程，将他清楚的过程，记录下来与大家分享

       最近博主服务器CPU分分钟爆满了，今天抽空排查到了一个可疑的进程，将他清楚的过程，记录下来与大家分享，也让大家涨涨知识。

       1、排查kill掉相关进程

       首先我们先输入以下命令行，查看占用CPU前10的进程

ps -aux --sort=-pcpu|head -10

果然发现了一个可疑进程，占用CPU居然达到90.2%。

       然后我们先kill该进程，命令如下:

kill -9 11614

       杀掉该进程后，我们重新再看看是否还存在该进程，命令如下：

ps -aux --sort=-pcpu|head -10

现在我们发现该进程不见了，最高CPU占用也就0.7，所以我们成功kill掉该进程。

       2、清理定时任务 

       这一步我们便开始对定时任务进行清理，输入以下命令查看

cat /etc/crontab

发现果然存在一个相关的定时任务

# run-parts01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
0/8 00 * * * /bin/bash  /usr/lib/libiacpkmn.so.3  >/dev/null 2>&1

并且我们找到了该文件的路径： /usr/lib/libiacpkmn.so.3，我们通过编辑命令进入编辑定时任务：

 vi /etc/crontab

 按i进入编辑模式，将最后一行删除，然后按ESC键，进入末行模式，输入:wq编辑退出，完成定时任务的清理。

       3、清理相关文件    

       根据定时任务中暴露的可疑文件所在路径/usr/lib/libiacpkmn.so.3，彻底删除该脚本文件 rm -f /usr/lib/libiacpkmn.so.3 。
结果显示文件是被加了锁的，使用root用户去删除、mv、chmo/chown改权限，或者清空文件，任何操作都会报Permission denied（没权限）

       首先进入该文件相关目录

cd /usr/lib

       使用lsattr查看相关权限

[root@personroot lib]# lsattr libiacpkmn.so.3
----i--------e-- libiacpkmn.so.3

       使用命令撤销i权限： 

chattr -i libiacpkmn.so.3

       删除该文件：

rm -f libiacpkmn.so.3

       重新发现该文件是否存在，不存在则表明删除成功：

find / -name "libiacpkmn.so.3"

       4、删除该程序相关东西

       输入以下命令：

find  / -name "nfstruncate"

        进入到相关目录下，然后进行删除

cd /etc/rc.d/init.d/
chattr -i nfstruncate 
rm -rf nfstruncate 

cd /bin/
chattr -i nfstruncate 
rm -rf nfstruncate

        完成删除后，我们再查找该文件是否存在：

 find / -name "nfstruncate"

如果没找到，便是成功删除。

       然后我们再观察我们的服务器CPU情况，发现稳定下来，没在蹭蹭上去。