低价云服务器 链接 —>>> 开发云 - 一站式云服务平台
1,查看有没有新增的陌生用户
vim /etc/passwd
发现了一个陌生用户 lsb
现在删除这个用户
userdel -r -f lsb
发现删除不了,查看/etc/passwd文件的权限
发现了这个文件被加了隐藏权限 ----ia-------e-- 就是加了隐藏权限,我们需要去除隐藏权限
查看隐藏权限:
lsattr /etc/passwd
删除隐藏权限:
chattr -i /etc/passwd
chattr -a /etc/passwd
chattr -e /etc/passwd
这几个文件依次做一次chattr 命令 /etc/passwd、/etc/shadow、 /etc/group、/etc/gshadow
2,现在再使用 userdel -r -f lsb 命令删除,发现删除还是会出现各种问题。删除不了,现在查看最近几天被修改的文件(因为中毒后一两天就会被发现),找到可疑文件
# 查找 home 目录下 最近一天被修改的文件(如果使用/根目录,文件会很多所以这里指定有怀疑的目录)
find /home -mtime -1 -print
可以看到这个之前发现的lsb可疑用户这里有很多文件,我们进去看一看
可以看到这里果然有病毒命令(之前我把病毒ip改成了111.111.111.111,被病毒发现了,它又新增加了下面那个json块,只想说一声厉害,佩服)
现在我们发现了更多的线索,lsb用户,病毒ip,上面的 /bin/cdz 命令
下面我们在看看其他的可疑目录,/usr、/etc 目录
我们看到了定时任务,我记得这太服务器的定时任务是被删除禁用
我们进去看看这个定时任务的文件
里面果然有个定时任务,每过一小时使用root命令执行 /etc/newinit.sh文件脚本。又发现一个线索
我们进去看看这个脚本文件,发现是空的(肯定是使用病毒命令删除了)我们不管,把这个定时任务删除了(如果操作不了,使用lsattr查看隐藏权限)
再查看root用户的定时任务
vim /var/spool/cron/root
又发现一个病毒定时任务
继续,查看一下是否有 systemd-journal 病毒
ps -ef|grep systemd-journal
好了,目前就找到这么多(/etc/crontab里面的定时任务、lsb陌生用户、病毒id、病毒ip使用的 /bin/cdz命令)
好了,我们开始来处理这些问题
1:禁止这个ip访问我们
vim /etc/hosts.deny
2:禁止服务器访问这个ip
iptables -A INPUT -s 104.192.82.138 -j DROP
3:删除定时任务 /etc/crontab里面的内容
4:删除/bin/cdz
5:删除lsb用户,在第一个chattr取消隐藏权限的时候会删除成功,之前要把ip禁掉,不然重启后又会访问病毒ip,这个用户就比较难删除了