小记一次挖矿病毒的清除

起因是因为今天在群里看到一位群友发问。

群友们正在帮助积极查找问题所在的情况

当时一看删除之后又会重新自己启动一次，这仿佛是个矿机病毒，该脚本总是去生成 /tmp/.x/-bash 脚本去执行病毒进程，再把该脚本删除，让人不能轻易发现。

这样一来，直接使用以下命令生成这个文件后，再强制赋予它不能删除、不能更改、不能移动的限制，这样病毒就不能将病毒内容输入该脚本去执行了：

但是到底是哪里调用并生成了这个脚本呢？
查看/var/log/cron日志文件可以看到之前的确是通过crontab调用的，清除掉crontab后它改从/etc/cron.daily和/etc/cron.weekly以及hourly

至此，可以看到他的源头文件是/bin/sysdrr该定时任务脚本将该文件复制到/usr/bin/-bash，然后再执行该脚本，再rm删除脚本。把sysdrr文件删除，如果设置了不可删除权限则将该权限移除后顺利删除，并删除其他cron文件。