服务器中病毒解决思路

 

低价云服务器  链接 —>>> 开发云 - 一站式云服务平台


 

 

1,查看有没有新增的陌生用户

vim /etc/passwd

发现了一个陌生用户 lsb

现在删除这个用户

userdel -r -f lsb

 发现删除不了,查看/etc/passwd文件的权限

 发现了这个文件被加了隐藏权限 ----ia-------e-- 就是加了隐藏权限,我们需要去除隐藏权限

查看隐藏权限:

lsattr /etc/passwd

删除隐藏权限:

chattr -i /etc/passwd

chattr -a /etc/passwd

chattr -e /etc/passwd

这几个文件依次做一次chattr 命令 /etc/passwd、/etc/shadow、 /etc/group、/etc/gshadow

2,现在再使用 userdel -r -f lsb 命令删除,发现删除还是会出现各种问题。删除不了,现在查看最近几天被修改的文件(因为中毒后一两天就会被发现),找到可疑文件

# 查找 home 目录下 最近一天被修改的文件(如果使用/根目录,文件会很多所以这里指定有怀疑的目录)

find /home  -mtime  -1 -print

 

 可以看到这个之前发现的lsb可疑用户这里有很多文件,我们进去看一看

 

 可以看到这里果然有病毒命令(之前我把病毒ip改成了111.111.111.111,被病毒发现了,它又新增加了下面那个json块,只想说一声厉害,佩服)

现在我们发现了更多的线索,lsb用户,病毒ip,上面的 /bin/cdz 命令

下面我们在看看其他的可疑目录,/usr、/etc 目录

 我们看到了定时任务,我记得这太服务器的定时任务是被删除禁用

 我们进去看看这个定时任务的文件

 里面果然有个定时任务,每过一小时使用root命令执行 /etc/newinit.sh文件脚本。又发现一个线索

 我们进去看看这个脚本文件,发现是空的(肯定是使用病毒命令删除了)我们不管,把这个定时任务删除了(如果操作不了,使用lsattr查看隐藏权限)

再查看root用户的定时任务

vim /var/spool/cron/root

 又发现一个病毒定时任务

 

继续,查看一下是否有 systemd-journal 病毒

ps -ef|grep systemd-journal

好了,目前就找到这么多(/etc/crontab里面的定时任务、lsb陌生用户、病毒id、病毒ip使用的 /bin/cdz命令)

好了,我们开始来处理这些问题

1:禁止这个ip访问我们

vim /etc/hosts.deny

 2:禁止服务器访问这个ip

iptables -A INPUT -s 104.192.82.138 -j DROP

3:删除定时任务 /etc/crontab里面的内容

4:删除/bin/cdz

5:删除lsb用户,在第一个chattr取消隐藏权限的时候会删除成功,之前要把ip禁掉,不然重启后又会访问病毒ip,这个用户就比较难删除了

  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

又逢乱世

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值