服务器挖矿病毒解决ponscan，定时任务解决

服务器挖矿病毒解决ponscan，定时任务解决

挖矿病毒会隐藏chattr的操作权限，让我们无法删除病毒文件，杀掉病毒进程。所以要去下载chattr.c的文件，编译成a.out。然后再对原来的chattr文件的权限进行修改。然后覆盖掉它。

chattr.c

放到任意非root目录下，然后编译

cc chattr.c

mv a.out /usr/chattr

使用新的chattr文件修改被锁住的chattr。去除特殊属性 -i

cd /usr

./chattr -i /usr/bin/chattr

然后给新的chattr赋权限,并复制过去替代锁住的

mv chattr ./bin/chattr

查看修改后的属性，只要没有-i -a就行了

lsattr /usr/bin/chattr

安装需要的命令工具

yum install e2fsprogs

清除ssh登录公钥

cd root

ls

cd .ssh

# 查看公钥文件的权限属性

lsattr authorized_keys

去掉 -ia两个属性

chattr -ia authorized_keys

chattr -e authorized_keys

# 删除里面的信息

vim authorized_keys

删除病毒文件本体

whereis pnscan

rm -f /usr/local/bin/pnscan

chattr -iea /usr/local/lib/pnscan.so

whereis crypto

rm -f /usr/local/lib/pnscan.so

杀掉病毒进程，恢复kill命令的权限

whereis kill

lsattr /usr/bin/kill

chattr -ia /usr/bin/kill

如果病毒进程被隐藏，可以使用更多进程查看软件比如

yum install -y atop

yum install -y htop

top

杀死病毒进程

kill - 9

检查一下有没有定时任务

crontab -l

crontab -e 进入删除

删除crontab -e 中的内容，但是发现无法删除

[root@server1 nps]# crontab -e
crontab: installing new crontab
crontab: error renaming /var/spool/cron/#tmp.XXXXGFRvjK to /var/spool/cron/root
rename: Operation not permitted
crontab: edits left in /tmp/crontab.Bw1XGv

进入到/var/spool/cron目录查看文件权限，发现被加了保护，使用lsattr去除，再编辑删除内容即可

lsattr /var/spool/cron/ #查看文件权限
chattr -a /var/spool/cron/root #修改权限/var/spool/cron/root权限，取消root文件的a属性
或
lsattr ./root
chattr -ia ./root
    
crontab -e
> 成功 crontab: installing new crontab
crontab -e进行编辑，crontab -l 即可查看添加的定时任务信息 

禁用crontab

service crond stop
mv /var/spool/cron  /var/spool/cron_is_disabled

chattr 命令的一般用法和常见选项

chattr [选项] 属性文件

• -R：递归处理，修改目录及其下所有内容的属性。
• -V：详细模式，显示命令执行过程。
• +：添加属性。
• -：删除属性。

将文件设置为不可修改（只添加）

chattr +a filename

取消文件的不可修改属性：

chattr -a filename

将目录及其下所有内容设置为不可修改

chattr -R +i directory

查看文件或目录的属性：

lsattr filename

• a：设置追加属性，只能向文件末尾添加内容，不能修改和删除已有内容。
• i：设置不可变属性，文件不能被删除、改名、修改或链接。
• d：设置删除属性，删除文件时只是清除文件的内容，而不是删除文件本身。
• u：设置撤销属性，如果文件被删除，数据内容仍然可以恢复。
• e: 属性表示设置文件为不可压缩（immutable），即禁止对文件进行压缩或修改。当文件具有 e 属性时，将无法对其进行写入或修改操作，包括不能删除或重命名该文件。这可以增加文件的安全性，防止意外或恶意更改或删除。

lsattr [选项] [文件路径]

• -a：显示所有文件，包括以 . 开头的文件（默认不显示以 . 开头的文件）。
• -d：如果参数是一个目录，则显示目录本身的属性，而不是目录中的文件。
• -R：递归显示目录及其子目录下的文件属性。
• -v：详细模式，显示更多属性信息。

显示文件的扩展属性：

lsattr filename

显示目录的扩展属性：

lsattr dirname

递归显示目录及其子目录下所有文件的扩展属性：

lsattr -R dirname

的属性，而不是目录中的文件。

• -R：递归显示目录及其子目录下的文件属性。
• -v：详细模式，显示更多属性信息。

显示文件的扩展属性：

lsattr filename

显示目录的扩展属性：

lsattr dirname

递归显示目录及其子目录下所有文件的扩展属性：

lsattr -R dirname

常见的扩展属性包括 i（不可修改）、a（只能追加）、e（不可压缩）等，每个属性都代表了文件或目录的特定限制或行为。lsattr 命令可以帮助管理员或用户查看文件的这些特殊属性，以了解文件的状态和行为限制。