问题：Ubuntu系统被攻击了，有莫名进程运行杀掉又自动重启。

原因：攻击原因估计是用户名和密码过于简单，ssh服务穿透时等被暴力破解了。

---

nvidia-smi：存在莫名的./java程序，kill掉也会重启其它木马进程，先不要动它。

top：有多个进程在运行，吃满了配置！无论怎么kill都关不掉，关掉又会重启其它进程。

---

解决办法

这个木马特别恶心，设置了很多后门，如果不完全解决后门它的进程又会自动重启。

---

步骤1：解决外部威胁

① 更换自己用户的全部密码！！！用不少于8位的字母+数字+特殊字符。

②检查自己的账户有没有新建的木马用户一次性全部删掉。我发现我的系统被新建了很多用户，在系统设置用户中删掉多余的用户。

③ 检查/home/下有没有多余的用户或者进程文件，全部删除！！！！

④在/home/下TM的还会生成隐藏文件！用ls -a查看，然后再rm -rf ./.* 全部删除！ 注意使用这个命令前核对一下当前的文件目录在/home/用户下使用。

---

步骤2：解决内部威胁

主要思路：根据进程号找到对应运行程序的文件目录，然后全局查找并删除所有相关文件。

# 查看运行命令
ps -ef | grep pid进程号
# 可以查看到进程的运行目录
pwdx pid进程号 

根据进程找到目录，然后全局查找该文件名，接下来通过 rm -rf 指定目录全部删除！最后在kill -9 进程名，关闭进程。

外部威胁解决后，只需要清除它留在系统内的全部程序即可。如果后续又有莫名进程启动，然后在去找到对应的文件全部删除。

---

步骤3：预防

下载安装杀毒软件全局守护

如何在 Ubuntu 22.04 上使用 ClamAV 扫描病毒

# 更新库
sudo apt-get update
# 安装ClamAV
sudo apt install clamav
# 构建签名授权，为了全局更好的扫描但是可能会失败，不用管。
sudo freshclam
# 查看具体指令
clamscan –-help
# 找到指定目录下的文件并输出
clamscan -r --bell -i /home/bill/Downloads
# 开启全局扫描，发现威胁并删除（我是运行的下面这个，具体可以结合自身情况再看看clamscan的使用）
clamscan -r --remove /
# 安装可视化界面gui
sudo apt install clamtk
# 运行
clamtk
# 可以通过gui去选择指定文件进行扫描

看看后续还有没有问题

---

过程记录

1. 2024年11月9日17:10:26，今天主要记录被攻击的过程和主要解决的思路，如果后面木马程序还有后门会继续记录解决过程。
2. 大家有什么好的解决方法，欢迎评论区讨论。太TM恶毒了这些人，基本上普通人遇见只能重装系统！！！以后记得使用更加复杂的密码！