挖矿病毒导致root登录失败报错

故障现象：

今天突发发现linux7.x系统root无法登录，报错如下：

ERROR:ld.so：object '/usr/local/lib/libprocessshider.so' from /etc/ld.so.preload cannot be preloaded: ignored

故障处理：

根据错误信息百度下：
有网友已踩坑https://www.cnblogs.com/Gsealy/p/14480365.html
根据上述思路处理：

1.重启系统，按e进入单用户模式：如下图添加/bin/sh然后按住Ctrl+x进入系统

2.执行如下操作步骤：这里的/etc/ld.so.preload的内容和文章中的不同，但原理一致，需删之

mount -o /remount rw /
cat /etc/ld.so.preload
echo "" > /etc/ld.so.preload
rm -rf /usr/local/lib/libextrasshd.so

3.修改root密码：复杂12位

passwd root
touch /.autorelabel

4.删除病毒定时任务和服务：参看https://blog.csdn.net/stars_moon1024/article/details/131371611

crontab -l
crontab -e删掉任务
rm -rf /root/.cfg/
进入cd /lib/systemd/system
ls -lt|head命令以从旧到新排序，可以看到一个myservice服务，这个不是系统的服务文件。
systemctl status myservice.service病毒服务状态
cat myservice.service看内容调用什么命令文件
systemctl stop myservice.service停止病毒服务
systemctl disable myservice.service去掉病毒自启动
rm -rf /usr/bin/player删除启动文件
rm -rf myservice.service删除启动服务
vi /etc/passwd删掉病毒用户
pwconv
rm -rf /home/病毒目录

5.重新启动系统，控制台里执行重置即可。

小结

• root密码务必设置复杂12位以上
• ssh务必升级到最新，避免系统漏洞
• 做好定期的巡检，及时发现和处理问题

相关参考：

https://www.cnblogs.com/Gsealy/p/14480365.html
https://blog.csdn.net/stars_moon1024/article/details/131371611

https://www.cnblogs.com/rzxiaojia/p/8360558.html

linux6.x的重置root密码参考：

https://cloud.tencent.com/developer/article/1843568
https://blog.51cto.com/u_3135183/6429313
关键点：