欢迎光临
AK的小站-记录生活的点滴

记一次清理发包病毒

今天手上的一台吃灰鸡突然的CPU满载,而且上行带宽几乎满载,以为是被CC了,(防火墙、限速什么鬼规则都没弄),ssh上去查看有大量访问记录,是被攻击了,然而查看进程竟然有个从没见过的进程在运行……

一、清除病毒进程

执行命令,每1秒刷新一次,显示整个命令路径,而不是命令的名称。查找可疑进程(比较奇怪的进程名称)

top -d 1 -c

发现可疑进程后,记录PID,然后执行如下命令

kill -STOP PID       #停止进程,先不要杀掉进程(有可能杀掉之后,木马守护程序会重新打开一个新的木马进程)
ls -l /proc/PID      #查看exe对应的脚本路径
例如:
ls -l /proc/609

删除/usr/bin/utckoo 此文件 若某些文件无法直接删除时,使用chattr命令

lsattr filename
chattr -aij filename

查看crontab有无定时任务

crontab -l
crontab -e
vim /etc/crontab 

查看/tmp特殊目录下有没有可执行程序

ls -l /tmp/

检测ps、netstat、ss、lsof命令是否替换。正常的文件大小不会超过1MB,如下按时间排序,重新关注前几行。

ls -lht  /etc/init.d/
ls -lht /bin/
ls -lht /sbin/
ls -lht /usr/bin
ls -lht /usr/sbin

执行lsof看看有无可疑的进程名

lsof

根据上面进程 进入对应的启动目录,删除对应文件(还发现了相关的执行文件,如果不删除,重启后依然会生成运行病毒文件)

删除完后,重启一切恢复正常

赞(0) 请喝奶茶
未经允许不得转载:吾爱AK-哇咔咔AK » 记一次清理发包病毒

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章对你有用,奖励一杯奶茶给我也是可以滴(o゚▽゚)o

微信扫一扫打赏