一次Linux中的木马病毒解决经历

排查

–

既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.

这个时候就说明木马已经入侵了,不是即时入侵的.

于是自然的使用top,ps,crontab等方案去排查

• top

从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.

• ps -aux > /usr/local/ps;vim /usr/local/ps

从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸

所以我们只需要杀死这个进程就可以了,于是使用kill命令杀了这两个进程重启服务器

…又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…

都到这儿了,我竟然没有想着去删除这个文件只想着杀进程,我也是服了我自己了

气死我了…

• crontab -l

呵,果然有定时器

无论是从定时器还是从ps都可以直观的看到是/etc/newinit.sh文件自动运行导致的,我没有记录这个文件的内容直接删除了,当然废了大劲.

解决

–

既然定时器中有不明定时任务那我们肯定是要删除这个定时任务的,也就是使用crontab -e去修改定时任务

…敢不敢信,这个时候我使用的root用户竟然没有修改权限

想着先删除newinit.sh文件再改定时器吧,使用rm -rf /etc/newinit.sh去删除了个文件

…也显示没权限删除

这就触及到知识盲区了,真不会啊,通过百度发现文件有隐藏权限,于是抱着试试的态度使用lsattr /etc/newinit.sh去查看…果然隐藏权限中多了ai权限

• a不可删除文件内容

• i不可删除文件

没截图,你们遇到这种问题的时候一定知道我在说什么,肯定不只是这个文件有ai权限,木马修改了我很多文件,其他的有截图的

绝不绝,绝绝子啊…

那么我们要做的就是把这个文件的权限修改回去了,lsattr查看权限对应的修改权限的命令是chattr命令,这个命令在/usr/bin文件夹里面

于是去使用chattr -ai /etc/newinit.sh命令去修改文件的权限

你没有猜错,修改失败,没有权限…这…

没办法去看一下chattr命令的权限(根据博主blog.csdn.net/handsomezls…

[root@daniel bin]# ls -lh chattr;lsattr chattr

-rw-r–r–. chattr

----i------------ chattr

复制代码

没办法复制了这个命令,还好cp没给我修改权限,不然废了

[root@daniel bin]# cp chattr chattr.new

[root@daniel bin]# chmod u+x chattr.new

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

线程、数据库、算法、JVM、分布式、微服务、框架、Spring相关知识

一线互联网P7面试集锦+各种大厂面试集锦

学习笔记以及面试真题解析

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！
8012)]

学习笔记以及面试真题解析

[外链图片转存中…(img-1XejzJfq-1713436188012)]

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！