Linux一次病毒处理

现象：CPU、内存爆满，top命令无法检测出异常进程

1. 通过网络连接查看是否有异常连接，发现异常连接国外IP，疑是感染挖矿病毒

netstat -anp

2. 通过变更文件可以看到一些挖矿程序，同时 /etc/ld.so.preload 文件的变更需要引起注意，这里涉及到 Linux 动态链接库预加载机制，是一种常用的进程隐藏方法，而 top 等命令都是受这个机制影响的。 vi /etc/ld.so.preload 去掉里面的更改内容

在 Linux 操作系统的动态链接库加载过程中，动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容，并将读取到的动态链接库进行预加载，即使程序不依赖这些动态链接库，LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载，它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高，所以能够提前于用户调用的动态库载入。
——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》

3. 通过top查找出对应的异常进程
   
4. 查看crontab、/etc/cron…、环境变量.bash_profile、/etc/rc.local等内容，找出是否异常
   
   发现木马文件删除：

crontab -r
lsattr /bin/bprofr
chattr -ia /bin/bprofr
rm -rf /bin/bprofr
chattr -ia .bash_profile
vi .bash_profile