Linux DDG挖矿木马病毒，清除步骤

1. //步骤1，查看进程

使用：top
查看CPU占用情况，如果发现CPU占用率超100%并且进程名称不不规则，就基本上就是中病毒了，如下截图：

进程名称:gaw8Y1 cpu占用率高达580%

1. //步骤2，杀掉进程，并且使用pstree命令找到它的父进程后进行查杀

如果没有pstree，请先yum安装：yum install psmisc

执行pstree后，查看不规则的进程名称，如下截图

使用ps –aux | grep st8acy查询到pid后进行查杀。

1. //步骤3，清空定时任务

命令1:crontab –e 移除20 * * * * /root/.aliyun.sh >/dev/null 2>&1

命令2：vi /var/spool/cron/root 移除 20 * * * * /root/.aliyun.sh >/dev/null
2>&1

1. //步骤4，删除病毒脚本

命令1： rm /etc/cron.d/0wlvly

chattr –i /opt/wlvly.sh

rm /opt/wlvly.sh

chattr –i /root/.wlvly.sh

rm /root/.wlvly.sh

chattr –i /opt/wlvly.sh

rm /opt/wlvly.sh

1. //步骤5，删除病毒守护进程，防止重生

命令：cd /tmp/.X11-unix/

rm 00

rm 11

rm 22

1. //步骤6，移除病毒创建的hosts域名指向

命令：vi /etc/hosts

由于每次生成的都不一样，所以类似于截图所示的值都可以进行移除。

1. 步骤7，创建免疫文件夹，避免下次感染

mkdir /root/wlvly.sh && chmod 000 /root/wlvly.sh && mkdir /opt/wlvly.sh && chmod
000 /opt/wlvly.sh