1.排查过程
参考:https://developer.aliyun.com/article/551862
关闭
所有对外应用
服务- 使用
ps –ef
和netstat -ntplua
检查可疑进程
和端口
# 检查可疑进程
ps –ef
# 检查可疑端口
## -t tcp
## -u udp
## -n 不解析
## -l 监听
## -p 显示pid和程序名
## -e 显示网络其他相关信
## -a 显示所有连线中的Socket
netstat -tunlpea
# 查看进程是哪个程序启动的
ll /proc/${pid}/exe
# 查看可疑程序的属性信息
ll ap*
# 检查可疑进程
top
ps –ef
2.清除病毒文件
# 取出结果第二列
ps -ef|grep "/usr/bin/.sshd"|grep -v "grep"|awk '{print $2}'
# 强制结束可疑进程
ps -ef|grep "/usr/bin/.sshd"|grep -v "grep"|awk '{print $2}' |xargs kill -9
# 查看ps命令的包名
rpm -qf /bin/ps
# 重新安装ps
yum install -y procps
# 递归列出文件系统上的打开文件及其相关信息
lsof -R |grep "/usr/bin"
3.再探病毒根源
# 检查计划任务
more /etc/crontab
病毒思路
4.清除病毒
# 暂停可疑进程
kill -STOP ${pid}
# 锁定计划任务文件
chattr +i /etc/crontab
# 强制结束可疑进程
kill -9 17161