这已经是第二次了,为了防止还有第三次,决定彻底查找该挖矿病毒。于是 find 查找了关于 ld-linux 的文件,结果如下:
/tmp/.xm/stak/ld-linux-x86-64.so.2
/usr/lib64/ld-linux-x86-64.so.2 -> ld-2.17.so
/usr/share/man/man8/ld-linux.so.8.gz
/usr/share/man/man8/ld-linux.8.gz
可以看到第一条的记录:/tmp/.xm/stak/ld-linux-x86-64.so.2
是在tmp的一个隐藏目录下的文件里面,有个ld-linux-x86-64.so.2,并且这个文件和/usr/lib64/ld-linux-x86-64.so.2名字一模一样,为什么这么说,你应该知道linux恶意进程基本都是伪装成其他进程的,就是名字和一些文件的名字一样。如果不这样,你一看进程:“这是个啥进程,没见过,干掉!”,这样可能太对不起IT黑客大佬写的代码了。
将/tmp/.xm/stak/ld-linux-x86-64.so.2 转移并取消权限(为了日后有时间研究下)。
接着搞第二条。由于才疏学浅,也没注意看/usr/lib64/ld-linux-x86-64.so.2 -> ld-2.17.so 是干啥的,就mv直接转移到了root的一个文件夹下,结果…除了 cd 和pwd 命令之外的所有命令都不能用了,而且xshell连接也连接不上,一直显示拒绝连接。后来查了资料,这是一个什么动态库的文件,在系统里很是重要。现在仅有电脑上保持连接状态的三个xshell框,而且是啥也做不了。
百度、群里探讨、找解决方法。
试过ftp,试过scp…想办法把ld-linux-x86-64.so.2还mv到原来的目录,或者从别的系统上复制过去。都没成功,预料的结果。
想到一起用的单用户模式修改root密码,就试试看能不能解决这个文件的问题。结果是能进去,但是文件不是互通的,就是里面的文件系统并不是原来系统里的东西,root下原本应该有的 ld-linux-x86-64.so.2 文件并不存在,也就没办法操作了。
后来查到救援模式的方法,centos7以前的系和centos7的救援模式是不一样的,具体的自己查。
此处有两个坑:
1.这个ro,当时我找了好久,如果你也找不到的话可以试试在拐角处,一行的末尾是 r/ ,下一行的开头是 o ,明白了吧,
换行处有个/符号;
2.这个系统的救援模式是不管用的,还是别试了;
好,下面开始说怎么拯救 ld-linx 。
系统的救援模式不管用,但是还有光盘的救援模式,准备一个刻录好的系统盘吧。
1.进入系统Bios设置,进光盘启动:
2.选择第三个Troubleshooting:
3.然后再选择第二个Rescue a CentOS Linux system,具体看选项,意思是“拯救一个centos系统”:
4.输入 1 ,然后回车即可;
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!