上次已经被抓去挖矿了当了一次旷工了,本以为解决了,没想到竟然死灰复燃。
这次占用cpu的依然是一个ld-linux的进程,kill掉之后同样就查了关于test用户的进程,果然,test用户的进程有100+个,比不上上次,还是用上次的脚本,将test的进程也kill掉。为防止恶意添加用户,将/etc/passwd 文件里的test用户删除后,给该文件添加了隐藏权限 i ,具体功能不知道的可以查下,此处不多介绍。再把主进程ld-linux干掉之后cpu直接降下来。
这已经是第二次了,为了防止还有第三次,决定彻底查找该挖矿病毒。于是 find 查找了关于 ld-linux 的文件,结果如下:
/tmp/.xm/stak/ld-linux-x86-64.so.2
/usr/lib64/ld-linux-x86-64.so.2 -> ld-2.17.so
/usr/share/man/man8/ld-linux.so.8.gz
/usr/share/man/man8/ld-linux.8.gz
可以看到第一条的记录:/tmp/.xm/stak/ld-linux-x86-64.so.2
是在tmp的一个隐藏目录下的文件里面,有个ld-linux-x86-64.so.2,并且这个文件和/usr/lib64/ld-linux-x86-64.so.2名字一模一样,为什么这么说,你应该知道linux恶意进程基本都是伪装成其他进程的,就是名字和一些文件的名字一样。如果不这样,你一看进程:“这是个啥进程,没见过,干掉!”,这样可能太对不起IT黑客大佬写的代码了。
将/tmp/.xm/stak/ld-linux-x86-64.so.2 转移并取消权限(为了日后有时间研究下)。
接着搞第二条。由于才疏学浅,也没注意看/usr/lib64/ld-linux-x86-64.so.2 -> ld-2.17.so 是干啥的,就mv直接转移到了root的一个文件夹下,结果…除了 cd 和pwd 命令之外的所有命令都不能用了,而且xshell连接也连接不上,一直显示拒绝连接。后来查了资料,这是一个什么动态库的文件,在系统里很是重要。现在仅有电脑上保持连接状态的三个xshell框,而且是啥也做不了。
百度、群里探讨、找解决方法。
试过ftp,试过scp…想办法把ld-linux-x86-64.so.2还mv到原来的目录,或者从别的系统上复制过去。都没成功,预料的结果。
想到一起用的单用户模式修改root密码,就试试看能不能解决这个文件的问题。结果是能进去,但是文件不是互通的,就是里面的文件系统并不是原来系统里的东西,root下原本应该有的 ld-linux-x86-64.so.2 文件并不存在,也就没办法操作了。
后来查到救援模式的方法,centos7以前的系和centos7的救援模式是不一样的,具体的自己查。
此处有两个坑:
1.这个ro,当时我找了好久,如果你也找不到的话可以试试在拐角处,一行的末尾是 r/ ,下一行的开头是 o ,明白了吧,
换行处有个/符号;
2.这个系统的救援模式是不管用的,还是别试了;
好,下面开始说怎么拯救 ld-linx 。
系统的救援模式不管用,但是还有光盘的救援模式,准备一个刻录好的系统盘吧。
1.进入系统Bios设置,进光盘启动:
2.选择第三个Troubleshooting:
3.然后再选择第二个Rescue a CentOS Linux system,具体看选项,意思是“拯救一个centos系统”:
为了做好运维面试路上的助攻手,特整理了上百道 【运维技术栈面试题集锦】 ,让你面试不慌心不跳,高薪offer怀里抱!
这次整理的面试题,小到shell、MySQL,大到K8s等云原生技术栈,不仅适合运维新人入行面试需要,还适用于想提升进阶跳槽加薪的运维朋友。
本份面试集锦涵盖了
- 174 道运维工程师面试题
- 128道k8s面试题
- 108道shell脚本面试题
- 200道Linux面试题
- 51道docker面试题
- 35道Jenkis面试题
- 78道MongoDB面试题
- 17道ansible面试题
- 60道dubbo面试题
- 53道kafka面试
- 18道mysql面试题
- 40道nginx面试题
- 77道redis面试题
- 28道zookeeper
总计 1000+ 道面试题, 内容 又全含金量又高
- 174道运维工程师面试题
1、什么是运维?
2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?
3、现在给你三百台服务器,你怎么对他们进行管理?
4、简述raid0 raid1raid5二种工作模式的工作原理及特点
5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?
6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
7、Tomcat和Resin有什么区别,工作中你怎么选择?
8、什么是中间件?什么是jdk?
9、讲述一下Tomcat8005、8009、8080三个端口的含义?
10、什么叫CDN?
11、什么叫网站灰度发布?
12、简述DNS进行域名解析的过程?
13、RabbitMQ是什么东西?
14、讲一下Keepalived的工作原理?
15、讲述一下LVS三种模式的工作过程?
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?
17、如何重置mysql root密码?
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
这里获取!](https://bbs.csdn.net/topics/618542503)**
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
777
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
