kworkerds处理

挖矿程序sustse和kworkerds处理.md

+动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式，在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。这种技术可以重写系统的库函数，只需要在预加载的链接库中重新定义相同名称的库函数，程序调用该库函数时，重新定义的函数即会屏蔽掉正常的库函数。
+动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式，在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。这种技术可以重写系统的库函数，只需要在预加载的链接库中重新定义相同名称的库函数，程序调用该库函数时，重新定义的函数即会屏蔽掉正常的库函数。
+动态链接库预加载机制有两种方式：LD_PRELOAD环境变量和/etc/ld.so.preload配置文件。赶紧查看下LD_PRELOAD环境变量：
+    echo LD_PRELOAD
+未见异常，再看看/etc/ld.so.preload配置文件：
+赶紧清空ld.so.preload文件并删掉lbb.so库。使用top再查看一下
+原来top查不到的kworkerds进程终于出现了，而且启动了很多。看来不单单top命令没异常就代表查看是真实的信息，还要记得检查预加载库。
+原来/var/tmp/目录下的kworkerds文件又出现了，这次好好找找吧，发现/tmp目录下也有这个文件，看来是会相互复制的。为了快速删除得写个删除脚本了，执行脚本删除完，top再查看，没有发现kworkerds进程，可是再看/usr/local/lib/目录，lbb.so库又出现了。
+还是没能彻底清除，肯定还有定时任务，crontab -e命令删除的只是root创建的定时任务，而用户创建的定时任务在/var/spool/cron/目录下，查看/var/spool/cron目录
+果然还有定时任务，将其删除，再看/usr/local/lib/目录，还是被恢复了。阴魂不散啊，再看/etc/cron.d目录下文件
+还有那个定时任务，将其也删除，这下终于不再复发了。最后整理我的删除脚本如下：
+echo "" > /etc/ld.so.preload
+chattr +i /etc
+rm -rf /var/spool/cron/*
+rm -rf /etc/cron.d/*
+chattr +i /var/spool/cron/
+rm -f /usr/local/lib/*
+chattr +i /usr/local/lib
+killall kworkerds
+rm -f /var/tmp/kworkerds*
+rm -f /var/tmp/1.so
+rm -f /tmp/kworkerds*
+rm -f /tmp/1.so
+rm -f /var/tmp/wc.conf
+rm -f tmp/wc.conf
+
+chattr +i命令是给文件夹加锁，删除完赶紧上锁，防止恶意文件再复制进去
+
+参考URL：https://blog.csdn.net/xinxin_2011/article/details/85047245
\ No newline at end of file