您好,登錄后才能下訂單哦!
這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)linux主機(jī)中病毒處理過(guò)程是怎么樣的,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
問(wèn)題現(xiàn)象
服務(wù)器一直往外大量發(fā)包,占用流量和cpu,導(dǎo)致服務(wù)器響應(yīng)很慢甚至無(wú)響應(yīng),懷疑是病毒引起
問(wèn)題排查&解決過(guò)程
幾乎所有病毒都會(huì)添加定時(shí)任務(wù)以及服務(wù),所有從crontab入手,此時(shí)直接執(zhí)行crontab -l結(jié)果可能是不準(zhǔn)的,所以直接查看文件
查到兩個(gè)可疑定時(shí)任務(wù),由于cron.sh病毒之前已經(jīng)清除,這里只記錄kill.sh病毒處理過(guò)程
[root@zj-nms4 rc.d]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
*/3 * * * * root /etc/cron.hourly/cron.sh
*/3 * * * * root /etc/cron.hourly/kill.sh
vi /etc/crontab進(jìn)去后將最后兩行注釋掉或者刪除
kill.sh文件內(nèi)容,指向/lib/libkill.so文件,該文件偽裝成so文件,其實(shí)是可執(zhí)行文件,用file libkill.so可查看
kill.sh其實(shí)是病毒原,但由于有進(jìn)程守護(hù),即使刪除也會(huì)馬上新建,所以首先要找到進(jìn)程
利用top,發(fā)現(xiàn)可疑進(jìn)程suwakbqdkn,pid為7480(ps命令這時(shí)已經(jīng)無(wú)法準(zhǔn)確的顯示信息,只有top和lsof準(zhǔn)確)
進(jìn)程信息如下,如果直接kill便會(huì)隨機(jī)又生產(chǎn)10個(gè)字符的進(jìn)程和服務(wù)
7480 root 19 0 21268 276 184 S 1.9 0.0 0:00.07 suwakbqdkn
ps查看進(jìn)程,其實(shí)它已偽裝成whoami命令,這時(shí)就會(huì)看到如果不用top而是ps查看的話,比如ps -ef |grep suwakbqdkn是找不到真正信息的
[root@zj-nms4 lib]# ps -ef |grep 7480
root 7480 1 0 16:40 ? 00:00:00 whoami
root 8482 26912 0 16:45 pts/2 00:00:00 grep 7480
ls -l /proc/7480
確認(rèn)可執(zhí)行文件在/bin下,而非/usr/bin
這時(shí)利用lsof -R |grep "/bin"也可以查看到結(jié)果
將以下目錄增加權(quán)限,防止病毒可以去更改或新增文件
chattr +i /lib
chattr +i /etc
chattr +i /bin
chattr +i /usr/bin
chattr +i /tmp
刪除病毒原文件,以及所產(chǎn)生的所有文件
chattr -i /etc; rm -rf /etc/cron.hourly/kill.sh ; chattr +i /etc
chattr -i /lib; rm -rf /lib/libkill.so ; chattr +i /lib
chattr -i /bin; rm -rf /bin/suwakbqdkn ; chattr +i /bin
chattr -i /tmp; rm -rf /tmp/gates.lod /tmp/moni.lod ; chattr +i /tmp
找到非正常服務(wù)后并刪除
chkconfig --list查看10個(gè)字符的非正常服務(wù)
關(guān)閉開(kāi)機(jī)啟動(dòng)
chkconfig suwakbqdkn off
停止服務(wù)
service suwakbqdkn stop
刪除服務(wù)
chkconfig --del suwakbqdkn
同時(shí)檢查以下路徑是否還suwakbqdkn服務(wù)
/etc/rc.d下所有級(jí)別新服務(wù)都刪掉suwakbqdkn,并確認(rèn)rc.local里沒(méi)有新內(nèi)容
[root@zj-nms4 cron.hourly]# cd /etc/rc.d/
[root@zj-nms4 rc.d]# ll
總計(jì) 112
drwxr-xr-x 2 root root 4096 03-04 13:57 init.d
-rwxr-xr-x 1 root root 2255 2009-07-04 rc
drwxr-xr-x 2 root root 4096 03-04 14:49 rc0.d
drwxr-xr-x 2 root root 4096 03-04 17:18 rc1.d
drwxr-xr-x 2 root root 4096 03-04 17:18 rc2.d
drwxr-xr-x 2 root root 4096 03-04 17:17 rc3.d
drwxr-xr-x 2 root root 4096 03-04 17:19 rc4.d
drwxr-xr-x 2 root root 4096 03-04 17:17 rc5.d
drwxr-xr-x 2 root root 4096 03-04 14:55 rc6.d
-rwxr-xr-x 1 root root 220 2009-07-04 rc.local
-rwxr-xr-x 1 root root 28574 2013-06-24 rc.sysinit
刪除時(shí)執(zhí)行一行語(yǔ)句
chattr -i /etc; rm -rf suwakbqdkn ; chattr +i /etc
恢復(fù)以下目錄權(quán)限,否則系統(tǒng)運(yùn)行也會(huì)受影響
chattr -i /lib
chattr -i /etc
chattr -i /bin
chattr -i /usr/bin
chattr -i /tmp
處理病毒后,一定要講服務(wù)器中所有用戶的口令修改,而且要強(qiáng)口令(數(shù)字、字母、大寫(xiě)、特殊符號(hào)等),中病毒的原因很多都是弱口令被暴力破解。
cguvljrkz 32164 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32167 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32170 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32173 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32174 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
上述就是小編為大家分享的linux主機(jī)中病毒處理過(guò)程是怎么樣的了,如果剛好有類似的疑惑,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。