Linux 挖矿病毒 perfctl 怎么处理？

阿里云服务器，最佳频繁收到阿里云的短信和邮件，内容就是发现挖矿病毒

N 年前用 windows 时，先是折腾各种杀毒软件，后折腾各种小工具，然后换到了 linux
今天发现，linux 用户的一大缺点就是不知道怎么处理病毒……

btop 看，perfctl 占用 50%CPU ，因为双核，表示占用整个 CPU 的时间
which 还找不到可执行文件
ls -l /proc/XXX/exe 才能找到可执行文件，文件位于/tmp/.perf.c/perfctl ，不过已经被阿里云删了
尝试 kill ，会自动重启

pagxir

164 天前

实在不行就重装大法。一般不是直接 kill ，而是 stop 它，然后把父进程也一并杀掉

wyntalgeer

164 天前

要找服务，这种的都是搞了个服务，在 tmp 里拷贝个分身，启动，然后自删分身。本体找到了一般没有删除权限，还要用 root 修改权限然后删掉，删掉后继续观察，如果还会出现，说明没找对，可以删了之后&&mkdir 一个同名目录防止它转生

yanqiyu

164 天前

这种情况我一般建议直接重装，因为这类病毒一旦拿到权限能干的坏事不少，很难追查

jardel

163 天前

linux 如果你没有做用户权限划分，并且病毒获取到了 root 建议重装系统。

yinmin

163 天前

建议重装，新系统 ssh 关闭密码必须 key 登录，用 docker 部署所有软件，保持容器无状态（数据 volume 到宿主机），将来再次出现问题，只要对出问题容器 docker compose down 然后 up 一下就可以

yinmin

163 天前

接#12 docker 容器尽量基于 debian 或 ubuntu ，不推荐 alpine 。

debian/ubuntu 基础镜像默认是不含网络工具的（没有 ping 、wget 、curl 、nc 等），黑客利用漏洞入侵时往往需要用到这些工具。

alpine 基础镜像有 busybox 功能太多，有 wget 、nc 、ping 都是黑客的最爱，黑客注入 shell 入侵时会用到 wget 、nc 等工具。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1127326

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.