溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家帶來有關linux主機中病毒處理過程是怎么樣的,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
問題現象
服務器一直往外大量發包,占用流量和cpu,導致服務器響應很慢甚至無響應,懷疑是病毒引起
問題排查&解決過程
幾乎所有病毒都會添加定時任務以及服務,所有從crontab入手,此時直接執行crontab -l結果可能是不準的,所以直接查看文件
查到兩個可疑定時任務,由于cron.sh病毒之前已經清除,這里只記錄kill.sh病毒處理過程
[root@zj-nms4 rc.d]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
*/3 * * * * root /etc/cron.hourly/cron.sh
*/3 * * * * root /etc/cron.hourly/kill.sh
vi /etc/crontab進去后將最后兩行注釋掉或者刪除
kill.sh文件內容,指向/lib/libkill.so文件,該文件偽裝成so文件,其實是可執行文件,用file libkill.so可查看
kill.sh其實是病毒原,但由于有進程守護,即使刪除也會馬上新建,所以首先要找到進程
利用top,發現可疑進程suwakbqdkn,pid為7480(ps命令這時已經無法準確的顯示信息,只有top和lsof準確)
進程信息如下,如果直接kill便會隨機又生產10個字符的進程和服務
7480 root 19 0 21268 276 184 S 1.9 0.0 0:00.07 suwakbqdkn
ps查看進程,其實它已偽裝成whoami命令,這時就會看到如果不用top而是ps查看的話,比如ps -ef |grep suwakbqdkn是找不到真正信息的
[root@zj-nms4 lib]# ps -ef |grep 7480
root 7480 1 0 16:40 ? 00:00:00 whoami
root 8482 26912 0 16:45 pts/2 00:00:00 grep 7480
ls -l /proc/7480
確認可執行文件在/bin下,而非/usr/bin
這時利用lsof -R |grep "/bin"也可以查看到結果
將以下目錄增加權限,防止病毒可以去更改或新增文件
chattr +i /lib
chattr +i /etc
chattr +i /bin
chattr +i /usr/bin
chattr +i /tmp
刪除病毒原文件,以及所產生的所有文件
chattr -i /etc; rm -rf /etc/cron.hourly/kill.sh ; chattr +i /etc
chattr -i /lib; rm -rf /lib/libkill.so ; chattr +i /lib
chattr -i /bin; rm -rf /bin/suwakbqdkn ; chattr +i /bin
chattr -i /tmp; rm -rf /tmp/gates.lod /tmp/moni.lod ; chattr +i /tmp
找到非正常服務后并刪除
chkconfig --list查看10個字符的非正常服務
關閉開機啟動
chkconfig suwakbqdkn off
停止服務
service suwakbqdkn stop
刪除服務
chkconfig --del suwakbqdkn
同時檢查以下路徑是否還suwakbqdkn服務
/etc/rc.d下所有級別新服務都刪掉suwakbqdkn,并確認rc.local里沒有新內容
[root@zj-nms4 cron.hourly]# cd /etc/rc.d/
[root@zj-nms4 rc.d]# ll
總計 112
drwxr-xr-x 2 root root 4096 03-04 13:57 init.d
-rwxr-xr-x 1 root root 2255 2009-07-04 rc
drwxr-xr-x 2 root root 4096 03-04 14:49 rc0.d
drwxr-xr-x 2 root root 4096 03-04 17:18 rc1.d
drwxr-xr-x 2 root root 4096 03-04 17:18 rc2.d
drwxr-xr-x 2 root root 4096 03-04 17:17 rc3.d
drwxr-xr-x 2 root root 4096 03-04 17:19 rc4.d
drwxr-xr-x 2 root root 4096 03-04 17:17 rc5.d
drwxr-xr-x 2 root root 4096 03-04 14:55 rc6.d
-rwxr-xr-x 1 root root 220 2009-07-04 rc.local
-rwxr-xr-x 1 root root 28574 2013-06-24 rc.sysinit
刪除時執行一行語句
chattr -i /etc; rm -rf suwakbqdkn ; chattr +i /etc
恢復以下目錄權限,否則系統運行也會受影響
chattr -i /lib
chattr -i /etc
chattr -i /bin
chattr -i /usr/bin
chattr -i /tmp
處理病毒后,一定要講服務器中所有用戶的口令修改,而且要強口令(數字、字母、大寫、特殊符號等),中病毒的原因很多都是弱口令被暴力破解。
cguvljrkz 32164 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32167 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32170 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32173 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32174 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
上述就是小編為大家分享的linux主機中病毒處理過程是怎么樣的了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
