由于公司没有网络安全人员,导致内网服务器水深火热,偶然间发现了一个服务器中病毒,查杀一下。
第一步先看看是啥
top 命令显示没有可疑进程,但是cpu100%
应该是可以进程被隐藏了按下列表步骤成功显现病毒进程
通过 cat /etc/ld.so.preload 发现里面有.so的文件,这是病毒隐藏文件
vim 进入该文件你会发现许多.so文件,但是属于只读文件,不能修改文件
所以干脆将整个 ld.so.preload文件删除。
改变文件属性后执行删除
chattr -i ld.so.preload
chattr -a ld.so.preload
rm ld.so.preload
再执行top 果然找到病毒进程
cpu占用783%!!!
第二步开始杀毒
目前是小白并不懂服务器系统的一些底层逻辑导致查杀困难,只记录杀毒步骤,希望以后遇到方便回查。
执行 kill -9 进程会瞬间重启,应该是有守护进程。
1.先看一下定时任务
crontab -l
如果有不是自己添加的定时任务直接删除,未避免出异常先全量删除
执行 crontab -r 删除所有定时任务
2.查看病毒源文件
ls -l /proc/24773/exe
显示源文件已被删除
果然啊没那么简单,说明病毒启动后把病毒文件给删了,应该是有第三方任务执行的
3.找一下这个进程有没有守护进程
systemctl status 24773
看一下这点文件路径什么情况 果然发现一个复制文件然后启动后删除文件命令,先把cron.hourly下的文件都删掉。记得把cron下的别周期的文件夹也过一般一般都会有
在找到病毒源文件进行删除
忘记去查杀一下病毒源文件了,下次可以去 https://s.threatbook.com/ 进行病毒分析只是好奇可以看看。
再去另一个地址看看,一直在创建 1196也在里边 全删掉,再看看
后又从/etc/cron.d 中发现更多脚本
所以还是全局搜索一下吧
find / -name ntpdate
找到了一堆全删掉
应该差不多了kill一下试试,未避免有其他进程守护先搜索一下
top -H -p 24773
发现一堆,一起杀调,杀掉后cpu恢复正常
不容易啊,但是还没完现在还有一个问题服务器是如何被攻击进入的,执行文件又是如何放进来的还是没找到问题所在,继续排查。而且还不知道是否有什么套娃自启脚本没找到。
第三步 深入查杀
还不会先研究研究再记录