溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
前兩天一服務器一聯網就丟包,斷斷續續,流量監控到流量跑的非常高,懷疑是***但關閉80口后問題依舊,開始著手是否服務器中了病毒果然不出所料
netstat -nltp
發現有三個可疑鏈接文件名如下
sfewfesfs
sshdd14XXXXXXXX(一串隨機數字)
sshhdd14XXXXXXXX(一串隨機數字)
查看文件進程PID路徑
ps -axu | grep -i sfewfesfs
ps -axu | grep -i sshdd14*
ps -axu | grep -i sshhdd14*
發現sfewfesfs和nhgbhhj在/etc下
首先解除刪除權限chattr -i /etc/sfewfesfs*
rm -rf /etc/sfewfesfs*
看到名為nhgbhhj等的可疑文件一并刪除
rm -rf /etc/nhgbhhj
rm -rf /etc/nhgbhhj*
刪除計劃任務,防止病毒再次生成
rm -rf /var/spool/cron/root
rm -rf /var/spool/cron/root.1
用ls -al /etc看到.SSH2(還有可能是.SSHH2)隱藏文件,刪除
rm -rf /etc/.SSH2
rm -rf /etc/.SSHH2
用ls -al /tmp看到.sshdd14XXXXXXXX(一串隨機數字)或.sshhdd14XXXXXXXX(一串隨機數字)隱藏文件,刪除
rm -rf /tmp/.sshdd14*
rm -rf /tmp/.sshhdd14*
重啟服務器后,一切恢復正常。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
