一、病毒特征
1、top 查看cup使用率
CUP使用率极高,也可以看到它的PID
2、查看网络连接数
netstat -anpt | grep tcp
连接数较高。
二、处置
1、kill pid
尝试删除可疑进程。
可以删除,但是他还是会自动启动
2、计划任务或者其他能够自启动的位置
crontab -l #查看计划任务列表。
crontab -e #进入后删除计划任务
kill #杀死进程
3、计划任务清除之后,他还是会自动写入。
4、检查进程
删除
查到这个可疑的进程。
ls -l /proc/72678/exe
找出它文件所在目录
进去之后使用 ll -all 查看,这是可疑程序的:
这个是正常程序的:
这几个进程异常进程的都是一样。
``````好像也没办法处理
特点:
1、删除计划任务,1分钟后计划任务会被重写
2、所有进程结束之后都会被计划任务启动,也就是说它执行的来源都是计划任务的文件
3、删除计划任务下所对应的文件。
方法一:
删除计划任务下的文件
让木马无法在自启动,并结束这两个进程
系统回复正常。
这是系统会收到一个邮件,汇报的是计划任务执行失败的提示,是因为我们将文件删除,计划任务无法执行。接下来就清空计划任务。
方法二:
通过PID查看对应的服务项
systemctl status 1525 #目标
systemctl status 1546 #目标文件
尝试删除目标文件和计划任务,因为它的周期是1分钟,所以在删除时候速度要快
[root@localhost ~]#
kill 1656 1732 && rm -rf /usr/sbin/CROND /etc/bash_completion.d/hri0j2 && crontab -r
#删除进程 #删除木马文件 #删除计划任务
top检测进程正常!