VIP Open Access

原文：菜鸟硬杠挖矿木马“rvlss”，“bffbe”，“wlvly”
https://blog.csdn.net/weixin_42097690/article/details/105354736

解决思路

#首先利用htop，将占用最高的6位随机码进程f9然后回车 kill掉。
#清理.ssh 文件夹，删除所有的免密登录

#第二步键入命令，然后清除不明的定时执行，例如下面三项：
# * * * * /root/.bffbe > /dev/null 2>&1 &
#* * * * /root/.wlvly.sh > /dev/null 2>&1 &
#* * * * /root/.rvlss.sh > /dev/null 2>&1 &
crontab -e  

#第三步，同样清楚定时执行，（文件形式）
rm -rf /etc/cron.d/0rvlss 
rm -rf /etc/cron.d/0bffbe
rm -rf /etc/cron.d/0wlvly

#尝试停掉，定时执行的目录写入权限，这个不清楚有没有效果
#本人因为时间原因还没有详细了解定时执行的逻辑
chmod -R 400 /etc/cron.d
#ls /etc/cron.d

#删除生成的脚本文件
#ps：上面代码执行有一段需要从网络上下载脚本，在删除下载脚本的时候，提示无权限， 后来查到隐藏属性

# 查看隐藏属性的命令
 lsattr  .rvlss

#清理隐藏属性，并删除脚本（三个，服务器可能中的是其中的一种）
chattr -i /root/*.rvlss*  
rm -rf /root/*.rvlss*
chattr -i /opt/*rvlss*
rm -rf /opt/*rvlss*

 chattr -i /root/*bffbe*
rm -rf /root/*bffbe*
chattr -i /opt/*bffbe*
rm -rf /opt/*bffbe*

 chattr -i /root/*wlvly*
rm -rf /root/*wlvly*
chattr -i /opt/*wlvly*
rm -rf /opt/*wlvly*

#脚本在感染宿主机后，会从网络上下载脚本，且，挖矿要连接矿池
#所以此处屏蔽了脚本中所有的域名
#事实证明，这一步其实是起着关键的作用，如果从网络入口进行屏蔽，效果显著。（此处是主机上脚本）
echo 0.0.0.0 tor2web.io tor2web.in tor2web.to tor2socks.in d2web.org onion.mn onion.to  >> /etc/hosts
echo 0.0.0.0 onion.glass onion.in.net onion.ly onion.pet onion.ws 4tor.ml civiclink.network  >> /etc/hosts
echo 0.0.0.0 tor2web.su doh.centraleu.pi-dns.com dns.twnic.tw dns.rubyfish.cn doh.dns.sb trumpzwlvlyrvlss.onion >>/etc/hosts

#脚本有检测hosts屏蔽的功能， 在下一步未执行的时候
#三项其中的两项会被病毒删掉。（侧面证明网络屏蔽域名确实有效）
#所以才有下一步的操作，需要ps -aux 查询所有的进程
#删掉5-6位随机码的一异常进程，此步操作至关重要，解决了大8成的服务器病毒重启。

#剩下的两成，因本人学艺不精，仍然存在问题，后来删掉dns服务器地址解决，临时方法

————————————————
版权声明：本文为CSDN博主「一只蛋黄」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_42097690/java/article/details/105354736