记一次linux复制病毒处理过程
  VIOeEZ1gDDYo 2024年01月24日 21 0

某天我的阿里云突然发信息告诉我服务器有自变异木马,我用远程工具连接服务器异常卡顿甚至掉线,reboot也不好使.用阿里云的网页控制台会好些,但还是卡,我又用阿里云控制台重启服务器,重启之后发现服务器完全连不上了,ping也ping不通了,我问了客服说可以用救援连接试试,果然能连上,起初发现连不上的原因是防火墙的问题,后来发现是网络服务挂了,起了network服务之后,远程工具也可以正常连接了,但还是卡顿,我还是用阿里云的网页控制台吧.
上去top 命令一看有个随机字符串的进程名占用了30%的cpu资源,kill掉之后又产生了另一个随机进程名,随后我ll /etc/cron*查看定时任务目录有没有被修改,发现有一个刚刚生成的类似定时任务shell脚本,内容如下:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp "/usr/bin/vauokamjnsqtyl" "/usr/bin/jyfsttydua"

尝试删除该文件,但立马又生成了一个新的文件,然后我把文件中的cp命令修改为rm -rf命令,还是会重新生成文件.

于是我到/usr/bin目录下用ll -art查看最近修改过的文件,发现有好多随机字符串的文件,我删除还是会复制一个新的文件,上网搜了半天,发现有个chattr命令可以阻止目录生成新的文件,于是我把定时任务目录中的脚本删除再禁止生成新文件:

rm -f *.sh; chattr +i /etc/cron.hourly

正当我准备用同样的方法处理/usr/bin目录的时候,发现/usr/bin目录下复制了几十个同类脚本,简直像吃了屎一样恶心,又到网上搜了半天,发现find命令有个-mtime参数可以找到最近几天内修改过的文件,配合-delete参数可以删除:

find /usr/bin -mtime -1 -type f -delete; chattr +i /usr/bin

这次终于没有新的文件产生了,再看一眼top命令,木马进程也不在了^_^

本文由博客一文多发平台 OpenWrite 发布!

【版权声明】本文内容来自摩杜云社区用户原创、第三方投稿、转载,内容版权归原作者所有。本网站的目的在于传递更多信息,不拥有版权,亦不承担相应法律责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@moduyun.com

  1. 分享:
最后一次编辑于 2024年01月24日 0

暂无评论

推荐阅读
  kZLEadpmxZsY   2024年05月17日   30   0   0 Linux
  kZLEadpmxZsY   2024年05月17日   43   0   0 Linux
  4hf9DKAg5W6h   2024年05月17日   41   0   0 Linux
  2xk0JyO908yA   2024年05月17日   59   0   0 Linux
  tAaiqedz71Vf   2024年05月17日   54   0   0 Linux
  2sqDzWaoi9Ck   2024年05月17日   50   0   0 Linux
LVM
  XWcNkifzer3j   2024年05月20日   47   0   0 Linux
VIOeEZ1gDDYo