centos清理恶意软件的步骤

在CentOS系统中清理恶意软件可以遵循以下步骤：

断网并修改root密码

• 在发现中了挖矿病毒后，首先要断开网络连接，并修改root密码以防止进一步的损害。

找出隐藏的挖矿进程

• 使用工具如 sysdig 和 unhide 来查找被隐藏的进程。
  • 安装 sysdig 和 unhide：

    sudo apt install sysdig
    sudo apt install unhide
    

  • 输出CPU占用的排行，显示出隐藏的进程ID（PIDs）：

    sudo sysdig -c topprocs_cpu
    

  • 搜索隐藏进程：

    sudo unhide proc
    

• 找到挖矿病毒的PID后，利用 systemctl status 命令检查并终止病毒启动服务。
  • 检查服务状态：

    systemctl status <PID>
    

  • 终止病毒启动服务：

    sudo systemctl stop <服务名>.service
    

  • 终止挖矿服务的开机自启：

    sudo systemctl disable <服务名>.service
    

• 杀掉挖矿进程：

  kill -9 <PID>
  

防止黑客再次入侵

• 查找异常IP并封禁：

  sudo iptables -I INPUT -s <异常IP> -j DROP
  

• 使用 iptables-persistent 保存规则并设置为开机自启：

  sudo apt-get install iptables-persistent
  sudo netfilter-persistent save
  sudo systemctl enable iptables
  sudo systemctl start iptables
  

• 查看并删除陌生公钥：

使用安全狗进行防护

• 安装安全狗并参考官网提供的安装说明和操作手册进行配置。

使用ClamAV进行病毒扫描

• ClamAV是一款开源的防病毒引擎，适用于Linux系统。
• 安装ClamAV：

  sudo apt-get install clamav clamav-daemon
  

• 更新病毒数据库：

  sudo freshclam
  

• 执行全盘扫描：

  sudo clamscan -r /
  

手动清理残留文件和注册表

• 如果使用优化大师等工具未能完全清理，可以手动进行以下操作：
  • 卸载程序本体。
  • 清理启动项和后台进程。
  • 清除注册表残留（需谨慎操作，建议先备份注册表）

注意事项

• 在进行任何操作之前，请确保已备份重要数据。
• 修改注册表时要格外小心，错误的操作可能会导致系统不稳定。
• 定期更新系统和软件，以修补已知的安全漏洞。

以上步骤可以帮助您有效地清理CentOS系统中的恶意软件，并采取预防措施以防止未来的攻击。