最近开发服务器卡的动弹不得,平时服务器资源也紧张,也就没往中病毒上想,今天打算找下哪个程序影响到了服务器,就输入了:
top
,结果发现6个以
.rsyslogds
结尾的程序占了50%的CPU,下意识的感觉莫不是中了病毒吧,于是就查了下,病毒程序的指向是/usr/sbin
目录,然后用 ll命令看了下文件,发现并没有什么异常文件,有一个 rsyslogd 文件
这个是正常的文件,但是仔细比较了一番后,发现指向的文件里面是 .rsyslogds 这样的,伪装了下,所以我用了另外一个命令
ll -al
这才让病毒文件现行,有两个文件
发现没,和系统自带的文件几乎一样,开始我没仔细看,也以为是日志文件,CSDN了半天,网上有很多处理日志占比服务器CPU高的方法,试了几个,杀了日志服务,发现没对这个服务有反应。里面的
.rsyslogds 文件没法打开,二进制文件。
用了命令传到本地桌面
sz .rsyslogds.sh
看了下这个文件里的东西,发现是从一个ip地址下载上面的.rsyslogds文件并设置为隐藏,那就好办了,第一步里面的ip拉如黑名单
在这个里面加入黑名在 .rsyslogds.sh 中的文件
第二步 ,删除这两个文件,
rm -f .rsyslogds.sh
rm -f .rsyslogds
最后一步关闭在运行的病毒程序,没办法,开始的时候关闭,一直自动重启了
pkill -p .rsyslogds
再次使用top m命令查看,ok ,病毒程序没有启动
再看下资源情况
由之前的60M一下子回到了4G,满足了。
中间用到的其他几个命令
ps -f | grep .rsyslogds
由于病毒已经被杀了,这个命令显示的是病毒程序的一些信息,也没截图,大概就是这么解决的。
同事说之前一次中病毒还有一个定时任务,我还没有研究,看明天情况,如果有定时任务,明天应该还会启动,明天看下情况。
这次的病毒呢,是kill -9命令开始没法杀死,自启动。
一个Java程序员,干起了运维的活!!!
希望黑客不要再黑我服务器了,让我本不富裕的开发服务器条件更是雪上加霜。
再次记录与病毒战斗的经历
在Linux 服务器中发现病毒的痕迹位置
红色的三个文件是病毒的定时任务,也就是请求病毒服务器的,我没有删除这三个文件,有样学样的写了一个定时任务杀除病毒程序。
我的定时任务如下:
* * * * * root (sh /usr/sbin/delrsyslogds.sh)|bash -sh
##
每分钟启动一次我的杀病毒程序 /usr/sbin/delrsyslogds.sh
这个程序的类容如下:
#!/bin/bash
pkill .rsyslogds
rm -f /usr/sbin/.rsyslogds
rm -f /usr/sbin/.rsyslogds.sh
因为 删除程序并且删除 病毒文件。
2021.8.19 病毒并没有彻底消灭,但是以上操作已经没让病毒程序启动,接下来就是搜索Linux 中的包含病毒信息的文件了
主要是几个命令
// 在文件中查找包含某字符的文件 引号内部是搜索内容,我一个一个文件夹搜索,再次找到了两处病毒相关文件,然后进入文件,最后删除文件
这个命令找到包含病毒链接的文件 ,发现只是几个定时任务,那好办,直接将他的定时任务改为我杀毒定时任务
find . -type f -exec grep -l "http://agent.apacheorg.xyz:1234/xmss" {} \;
// 这个命令是查找所有包含病毒程序的文件 ,还可以将前面的路径去掉找到的应该会只多不少
find . -type f -exec grep -l "/usr/sbin/.rsyslogds" {} \;
// 本来梅这个命令啥事,到那时发现前面的命令找到了这个文件,好几个病毒文件,在不同地方叫这个名字,也就开始找包含这个文字的文件了
find . -type f -exec grep -l "rsyslogds.service" {} \;
持续与病毒战斗,不到最后彻底解决不罢休。两台服务器中现在一台已经没有病毒启动痕迹了,另一台依旧启动,但是看了下,不是定时任务启动的,感觉还是密码的问题,病毒也确实强。