CentOS 6.9 Final 同样中毒,症状是 wloq 进程 CPU 100%。。
我的处理是先把 /bin/sh 改名成 /bin/sh_ex,然后 /etc/hosts 加入
127.0.0.1
w.3ei.xyz127.0.0.1
w.21-3n.xyz以上两步可以禁止脚本继续执行
kill -9 `pidof httpdz`
kill -9 `pidof migrations`
kill -9 `pidof pvds`
kill -9 `pidof wloq`
kill -9 `pidof initdz`
chattr -i /etc/httpdz /etc/wloq /etc/initdz /etc/pvds /etc/migrations
rm -f /etc/httpdz /etc/migrations /etc/pvds /etc/initdz /etc/wloq
然后
chattr -i /var/spool/cron/root
chmod a+s /var/spool/cron/root
vi /var/spool/cron/root
:%d
:wq
清空计划任务
chattr -i ~/.ssh/authorized_keys
chmod a+s ~/.ssh/authorized_keys
vi ~/.ssh/autorized_keys
在带有 Administrator@Guess 的那一行按 dd 删掉
:wq
这样基本就把挖矿病毒清理完了