记一次linux主机中病毒处理过程

最新推荐文章于 2024-05-15 09:03:54 发布
最新推荐文章于 2024-05-15 09:03:54 发布
阅读量354 收藏
点赞数

问题现象

服务器一直往外大量发包,占用流量和cpu,导致服务器响应很慢甚至无响应,怀疑是病毒引起


问题排查&解决过程

几乎所有病毒都会添加定时任务以及服务,所有从crontab入手,此时直接执行crontab -l结果可能是不准的,所以直接查看文件

查到两个可疑定时任务,由于cron.sh病毒之前已经清除,这里只记录kill.sh病毒处理过程

[root@zj-nms4 rc.d]# cat /etc/crontab 

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/


# run-parts

01 * * * * root run-parts /etc/cron.hourly

02 4 * * * root run-parts /etc/cron.daily

22 4 * * 0 root run-parts /etc/cron.weekly

42 4 1 * * root run-parts /etc/cron.monthly

*/3 * * * * root /etc/cron.hourly/cron.sh

*/3 * * * * root /etc/cron.hourly/kill.sh


vi /etc/crontab进去后将最后两行注释掉或者删除


kill.sh文件内容,指向/lib/libkill.so文件,该文件伪装成so文件,其实是可执行文件,用file libkill.so可查看

kill.sh其实是病毒原,但由于有进程守护,即使删除也会马上新建,所以首先要找到进程


利用top,发现可疑进程suwakbqdkn,pid为7480(ps命令这时已经无法准确的显示信息,只有top和lsof准确)

进程信息如下,如果直接kill便会随机又生产10个字符的进程和服务

7480 root      19   0 21268  276  184 S  1.9  0.0   0:00.07 suwakbqdkn 


ps查看进程,其实它已伪装成whoami命令,这时就会看到如果不用top而是ps查看的话,比如ps -ef |grep suwakbqdkn是找不到真正信息的

[root@zj-nms4 lib]# ps -ef |grep 7480

root      7480     1  0 16:40 ?        00:00:00 whoami         

root      8482 26912  0 16:45 pts/2    00:00:00 grep 7480


ls -l /proc/7480

确认可执行文件在/bin下,而非/usr/bin

这时利用lsof -R |grep "/bin"也可以查看到结果


将以下目录增加权限,防止病毒可以去更改或新增文件

chattr +i /lib

chattr +i /etc

chattr +i /bin

chattr +i /usr/bin

chattr +i /tmp


删除病毒原文件,以及所产生的所有文件

chattr -i /etc; rm -rf  /etc/cron.hourly/kill.sh ; chattr +i /etc

chattr -i /lib; rm -rf  /lib/libkill.so ; chattr +i /lib

chattr -i /bin; rm -rf  /bin/suwakbqdkn ; chattr +i /bin

chattr -i /tmp; rm -rf  /tmp/gates.lod /tmp/moni.lod ; chattr +i /tmp



找到非正常服务后并删除

chkconfig --list查看10个字符的非正常服务

关闭开机启动

chkconfig suwakbqdkn off

停止服务

service suwakbqdkn stop

删除服务

chkconfig --del suwakbqdkn


同时检查以下路径是否还suwakbqdkn服务

/etc/rc.d下所有级别新服务都删掉suwakbqdkn,并确认rc.local里没有新内容


[root@zj-nms4 cron.hourly]# cd /etc/rc.d/

[root@zj-nms4 rc.d]# ll

总计 112

drwxr-xr-x 2 root root  4096 03-04 13:57 init.d

-rwxr-xr-x 1 root root  2255 2009-07-04 rc

drwxr-xr-x 2 root root  4096 03-04 14:49 rc0.d

drwxr-xr-x 2 root root  4096 03-04 17:18 rc1.d

drwxr-xr-x 2 root root  4096 03-04 17:18 rc2.d

drwxr-xr-x 2 root root  4096 03-04 17:17 rc3.d

drwxr-xr-x 2 root root  4096 03-04 17:19 rc4.d

drwxr-xr-x 2 root root  4096 03-04 17:17 rc5.d

drwxr-xr-x 2 root root  4096 03-04 14:55 rc6.d

-rwxr-xr-x 1 root root   220 2009-07-04 rc.local

-rwxr-xr-x 1 root root 28574 2013-06-24 rc.sysinit

删除时执行一行语句

chattr -i /etc; rm -rf  suwakbqdkn ; chattr +i /etc


恢复以下目录权限,否则系统运行也会受影响

chattr -i /lib

chattr -i /etc

chattr -i /bin

chattr -i /usr/bin

chattr -i /tmp


处理病毒后,一定要讲服务器中所有用户的口令修改,而且要强口令(数字、字母、大写、特殊符号等),中病毒的原因很多都是弱口令被暴力破解。



cguvljrkz 32164     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32167     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32170     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32173     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32174     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/26964624/viewspace-2564288/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/26964624/viewspace-2564288/

cuibaye0692
关注
linux 系统命令被后门修改_一次Linux系统被攻击的分析过程
weixin_39519619的博客
11-06 789
作者:南非蚂蚁 来源:https://urlify.cn/M7NjIvIT行业发展到现在,安全问题已经变得至关重要,从之前的“棱镜门”事件,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路...
Linux病毒了怎么办?
小白鸽i的博客
03-23 810
Linux病毒了怎么办?
linux系统病毒怎么解决,Linux系统病毒,无法查杀
weixin_35888209的博客
04-29 385
0x01 排查过程11:10看到主机监控告警,告警内容为cd "/usr/local/web/cdksw/general-tomcat-6.0.18/webapps/background/background/upload/";ver;echo [S];pwd;echo [E]看内容就是菜刀马执行,看目录发现是upload可以猜测是文件上传的问题。受影响的是两台负载的机器,其一台报警了。查看报警...
Linux系统病毒怎么解决
qq_38954700的博客
04-28 1749
1)最简单有效的方法就是重装系统 2)要查的话就是找到病毒文件然后删除 毒之后一般机器cpu、内存使用率会比较高 机器向外发包等异常情况,排查方法简单介绍下 top 命令找到cpu使用率最高的进程 一般病毒文件命名都比较乱,可以用 ps aux 找到病毒文件位置 rm -f命令删除病毒文件 检查计划任务、开机启动项和病毒文件目录有无其他可以文件等 3)由于即使删除病毒文件不排除有潜伏病毒,所以最好是把机器备份数据之后重装一下 ...
linux服务器病毒后的清除处理
Micheal's Blog
02-23 1425
linux服务器病毒后的清除处理 之前看到公司同事在部署服务器的时候,发现了挖矿病毒,很是恼火。因为我平时很少接触服务器,一般都是部署项目,配置域名就完事。所以遇到这种情况,只能在一旁看着干着急。后来在网上查阅了很多资料,现决定来整理一下,下次如果遇到服务器病毒的情况,可以拿来参考一下。 一、服务器为什么会病毒? 1)服务器病毒,其实是因为黑客的入侵。入侵者的每一次入侵几乎都是从扫描开始的,扫描软件首先会判断远程计算机是否存在,接着对存在的远程计算机进行扫描,探测其开放的端口。入侵者通过扫描的结果
计算机病毒与防护:Linux安装过程.ppt
06-10
最后,如果在同一台电脑上既有Windows又有Linux,建议先安装Windows,因为Windows的安装过程可能会对MBR造成影响,而Linux可以更好地处理这种复杂情况。 总之,理解计算机病毒的威胁,熟悉Linux的安装过程和安全...
一次入侵Linux服务器和删除木马程序的经历
09-15
本文档描述了一次针对Linux服务器的入侵事件及其后续的处理过程。该事件始于一次流量异常的发现,进而揭示了服务器遭受木马攻击的事实。 #### 入侵检测 - **流量监控**:通过持续监测网络流量,可以及时发现异常...
5款最佳的免费Linux杀毒软件
01-09
Linux的安全性毋庸置疑。很多Linux新手都这样认为,但是Linux同样也...在Linux服务器扫描接收和发送的邮件4.扫描发送给其它机器的重要文件 下面向你推荐最好的免费的Linux平台杀毒软件 1、ClamAV 杀毒 ClamAV 杀毒是L
计算机病毒与防护:Linux基本使用.pptx
06-10
Linux系统作为一款广泛使用的开源操作系统,虽然相比Windows等系统在病毒防护上有其优势,但仍然需要了解基本的防病毒策略。在Linux环境,理解基本的命令行操作和系统管理是预防和对抗病毒的关键。 首先,Linux...
主机被挖矿病毒感染的处理过程
小明和一群狗子们
05-27 6009
舍友在宿舍喊着,我的这个云主机好卡啊,难受啊!我让他用top命令看一下CPU占用。 一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。 看来肯定是被当矿机了。 清除过程 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使...
Linux病毒的处理
Climber4211的博客
08-19 434
病毒一直pkill 不掉 定时任务不断重启 找到病毒相关的文件 解决办法 // top 命令找到相应的程序 top // 找到程序的信息 ps -ef|grep xxxx 第二步找到相应的文件 // 进入病毒相关目录 cd /xxxx/xxxxx // 删除相关病毒文件 rm -f xxxx 第三步查看响应的定时任务 // 定时任务是病毒重启的关键,进入定时任务所在文件夹 cd /etc // 然后查看所有定时任务 ll cron.* 进入到定时任务的文件逐个查看是否存在异常 有的话就开始修改或.
Linux服务器病毒后的清理方法
最新发布
weixin_45625174的博客
05-15 1487
" -ls 和 find /usr/sbin/ -iname ".
一次解决linux服务器病毒处理过程病毒类型为挖矿病毒病毒来源是redis漏洞
xijieh的博客
06-04 2169
一次解决linux服务器病毒处理过程病毒类型为挖矿病毒病毒来源是redis漏洞录下简单的解决过程 录下简单的解决过程 今天登陆腾讯云的服务器,通过top命令发现,有一个进程CPU一直占用100%,因为本来是个java开发,小公司又没运维,只能自己搞,所以第一反应是kill掉,结果又出现了,只能向腾讯云提工单,结果收到电话说,是了挖矿病毒,需要重装系统。 what?线上业务在跑着,重...
Linux系统毒,应急方法
m0_62207482的博客
02-23 1177
11、如果有 Web 站点,可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数(evel、system、shell_exec、exec、passthru system、popen) 进行查杀Webshell 后门。4、用 netstat -antlp|more命令分析可疑端口、IP、PID,查看下 pid 所对应的进程文件路径,运行ls -l /proc/$PID/exe 或 file /proc/$PID/exe($PID 为对应的pid 号);
linux了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5101
linux挖矿病毒已解决
一次Linux的木马病毒解决经历,附超全教程文档
2401_84248479的博客
04-11 782
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…从进程列表发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸。
linux服务器被植入挖矿病毒后初步解决方案
qq_24274689的博客
07-22 3777
linux服务器被植入挖矿病毒后初步解决方案
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2977
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
Linux系统常见的病毒介绍(附解决方案)
makaisghr的专栏
06-16 8245
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMiner Linux系统常见的病毒介绍 BillGates BillGates在2014年被首次发现,由于其样本多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装 主机毒现象: [1] 在/tmp/目录下存在gates.lod、
Linux主机安全全面指南:端口管理、自动升级与病毒防护
第6章"Linux主机安全"深入...第6章Linux主机安全详细指导了用户如何通过网络端口管理、系统维护和病毒防护来提升主机安全性,为计算机用户提供了实用的防护策略。在这个数字化时代,理解并实施这些安全措施至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值