linux主機(jī)中病毒處理過(guò)程是怎么樣的

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)linux主機(jī)中病毒處理過(guò)程是怎么樣的，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

問(wèn)題現(xiàn)象

服務(wù)器一直往外大量發(fā)包，占用流量和cpu，導(dǎo)致服務(wù)器響應(yīng)很慢甚至無(wú)響應(yīng)，懷疑是病毒引起

問(wèn)題排查&解決過(guò)程

幾乎所有病毒都會(huì)添加定時(shí)任務(wù)以及服務(wù)，所有從crontab入手，此時(shí)直接執(zhí)行crontab -l結(jié)果可能是不準(zhǔn)的，所以直接查看文件

查到兩個(gè)可疑定時(shí)任務(wù)，由于cron.sh病毒之前已經(jīng)清除，這里只記錄kill.sh病毒處理過(guò)程

[root@zj-nms4 rc.d]# cat /etc/crontab 

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/

# run-parts

01 * * * * root run-parts /etc/cron.hourly

02 4 * * * root run-parts /etc/cron.daily

22 4 * * 0 root run-parts /etc/cron.weekly

42 4 1 * * root run-parts /etc/cron.monthly

*/3 * * * * root /etc/cron.hourly/cron.sh

*/3 * * * * root /etc/cron.hourly/kill.sh

vi /etc/crontab進(jìn)去后將最后兩行注釋掉或者刪除

kill.sh文件內(nèi)容，指向/lib/libkill.so文件，該文件偽裝成so文件，其實(shí)是可執(zhí)行文件，用file libkill.so可查看

kill.sh其實(shí)是病毒原，但由于有進(jìn)程守護(hù)，即使刪除也會(huì)馬上新建，所以首先要找到進(jìn)程

利用top，發(fā)現(xiàn)可疑進(jìn)程suwakbqdkn，pid為7480（ps命令這時(shí)已經(jīng)無(wú)法準(zhǔn)確的顯示信息，只有top和lsof準(zhǔn)確）

進(jìn)程信息如下，如果直接kill便會(huì)隨機(jī)又生產(chǎn)10個(gè)字符的進(jìn)程和服務(wù)

7480 root      19   0 21268  276  184 S  1.9  0.0   0:00.07 suwakbqdkn 

ps查看進(jìn)程，其實(shí)它已偽裝成whoami命令，這時(shí)就會(huì)看到如果不用top而是ps查看的話，比如ps -ef |grep suwakbqdkn是找不到真正信息的

[root@zj-nms4 lib]# ps -ef |grep 7480

root      7480     1  0 16:40 ?        00:00:00 whoami         

root      8482 26912  0 16:45 pts/2    00:00:00 grep 7480

ls -l /proc/7480

確認(rèn)可執(zhí)行文件在/bin下,而非/usr/bin

這時(shí)利用lsof -R |grep "/bin"也可以查看到結(jié)果

將以下目錄增加權(quán)限，防止病毒可以去更改或新增文件

chattr +i /lib

chattr +i /etc

chattr +i /bin

chattr +i /usr/bin

chattr +i /tmp

刪除病毒原文件，以及所產(chǎn)生的所有文件

chattr -i /etc; rm -rf  /etc/cron.hourly/kill.sh ; chattr +i /etc

chattr -i /lib; rm -rf  /lib/libkill.so ; chattr +i /lib

chattr -i /bin; rm -rf  /bin/suwakbqdkn ; chattr +i /bin

chattr -i /tmp; rm -rf  /tmp/gates.lod /tmp/moni.lod ; chattr +i /tmp

找到非正常服務(wù)后并刪除

chkconfig --list查看10個(gè)字符的非正常服務(wù)

關(guān)閉開(kāi)機(jī)啟動(dòng)

chkconfig suwakbqdkn off

停止服務(wù)

service suwakbqdkn stop

刪除服務(wù)

chkconfig --del suwakbqdkn

同時(shí)檢查以下路徑是否還suwakbqdkn服務(wù)

/etc/rc.d下所有級(jí)別新服務(wù)都刪掉suwakbqdkn，并確認(rèn)rc.local里沒(méi)有新內(nèi)容

[root@zj-nms4 cron.hourly]# cd /etc/rc.d/

[root@zj-nms4 rc.d]# ll

總計(jì) 112

drwxr-xr-x 2 root root  4096 03-04 13:57 init.d

-rwxr-xr-x 1 root root  2255 2009-07-04 rc

drwxr-xr-x 2 root root  4096 03-04 14:49 rc0.d

drwxr-xr-x 2 root root  4096 03-04 17:18 rc1.d

drwxr-xr-x 2 root root  4096 03-04 17:18 rc2.d

drwxr-xr-x 2 root root  4096 03-04 17:17 rc3.d

drwxr-xr-x 2 root root  4096 03-04 17:19 rc4.d

drwxr-xr-x 2 root root  4096 03-04 17:17 rc5.d

drwxr-xr-x 2 root root  4096 03-04 14:55 rc6.d

-rwxr-xr-x 1 root root   220 2009-07-04 rc.local

-rwxr-xr-x 1 root root 28574 2013-06-24 rc.sysinit

刪除時(shí)執(zhí)行一行語(yǔ)句

chattr -i /etc; rm -rf  suwakbqdkn ; chattr +i /etc

恢復(fù)以下目錄權(quán)限，否則系統(tǒng)運(yùn)行也會(huì)受影響

chattr -i /lib

chattr -i /etc

chattr -i /bin

chattr -i /usr/bin

chattr -i /tmp

處理病毒后，一定要講服務(wù)器中所有用戶的口令修改，而且要強(qiáng)口令（數(shù)字、字母、大寫(xiě)、特殊符號(hào)等），中病毒的原因很多都是弱口令被暴力破解。

cguvljrkz 32164     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32167     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32170     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32173     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32174     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

上述就是小編為大家分享的linux主機(jī)中病毒處理過(guò)程是怎么樣的了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。