现象:一个随机字母命名的进程,吃掉大量的cpu和网络带宽。如图:
Lsof可以看到病毒的IP 59.36.97.141东莞的IP杀死后,立刻新生一个随机字母的进程,继续作恶,如图:原因可能有两个:有另外一个进程在守护着它,或者系统服务有相关设定。1、寻找守护病毒的进程Pstree可以看到这样的进程其实有两个,同样是10个随机字母的进程一个表现异常设为A,一个隐藏在背后设为B。2、看看系统服务设置:看了下crontab, 发现有个3分钟就执行一个的脚本,结果顺藤摸瓜,发现一个伪装成库的程序,file它,发现它真实个可执行文件,ps了下,发现没有这个名字的进程,估计是改了名字,隐藏起来,它跟B有什么关系?然后顺手就把那个库文件libudev.so删掉,TMD,居然发现跟A一样,立即重生了,这里想会不会它们是相互守护的。试试同时杀掉它们,发现还是不行。
再看看init.d 结果发现了/usr/bin/A就是A的本地,之前pwdx是查不出A的路径的,估计是修改/proc/pid里面的信息。 rcX.d里面的也有指向init.d的链接文件,/etc/rc.d/rc.d、/etc/rc.d都有。看了上面的信息,得到解决办法:Kill.sh:s90=”S90${1}”k90=”K90${1}”rm -f /etc/rc0.d/${k90} /etc/rc4.d/${s90} /etc/rc5.d/${s90}/etc/rc6.d/${k90} /etc/rc1.d/${s90} /etc/rc2.d/${s90} /etc/rc3.d/${s90}rm -f /etc/rc.d/rc0.d/${k90} /etc/rc.d/rc4.d/${s90} /etc/rc.d/rc5.d/${s90}/etc/rc.d/rc6.d/${k90} /etc/rc.d/rc1.d/${s90} /etc/rc.d/rc2.d/${s90}/etc/rc.d/rc3.d/${s90}#去掉crontab里的3分钟执行一次的那项rm -f /etc/cron.hourly/gcc.sh#阻止再新生病毒程序chmod 000 /usr/bin/${1} && chattr+i /usr/binchmod 000 /bin/${1} && chattr +i/binchmod 000 /sbin/${1} && chattr +i/sbinchmod 000 /usr/bin/${1} && chattr+i /usr/binchmod 000 /usr/sbin/${1} && chattr+i /usr/sbinchmod 000 /usr/local/bin/${1} &&chattr +i /usr/local/binchmod 000 /usr/local/sbin/${1} &&chattr +i /usr/local/sbinchmod 000 /usr/X11R6/bin/${1} &&chattr +i /usr/X11R6/binchmod 000 /tmp/${1} && chattr +i/tmp#杀死病毒kill -9 ${2}rm -f /lib/libudev.so*杀掉后,再执行recovery.shchattr -i /usr/binchattr -i /binchattr -i /s免费云主机域名binchattr -i /usr/binchattr -i /usr/sbinchattr -i /usr/local/binchattr -i /usr/local/sbinchattr -i /usr/X11R6/binchattr -i /tmp反思:病毒是什么时候,怎样进来的?病毒的一些特性,对服务器开发还是有启发意义的新手上路,高手请指点转发请留痕
echo命令:Write arguments to the standard output.(将参数写入标注输出)echo会将输入的字符串送往标准输出。输出的字符串以空白字符隔开,并在最后加上换行号echo [-ne] [字符串]NAMEecho – disp…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
