现象
服务器cpu占用极高,经常卡顿,干掉进程,不一会儿又出现了,那么有可能被注入了定时运行规则了;
处理过程
查看进程文件启动目录:cd /proc/PID(进程号)
1、使用top监控资源情况,发现异常,使用kill干掉了
2、但过段时间又冒出来了,这是使用crontab -l 发现异常定时规则
3、查询定时任务日志 /var/log/cron,发现异常进程从某行代码开始
4、分析/etc/cron.d/pwnrig 脚本【这个是从日志中发现的异常文件】如下
5、跟踪启动文件/bin/crondr,发现还不能删除,被锁定了
处理步骤
1、删除/bin/crondr文件等相关文件
# 解锁
chattr -ia /bin/crondr
chattr -ia /bin/sysdr
chattr -ia /bin/initdr
chattr -ia /bin/bprofr
chattr -ia /etc/init.d/pwnrig
chattr -ia /etc/rc.d/init.d/pwnrig
# 删除
rm -rf /bin/crondr
rm -rf /bin/sysdr
rm -rf /bin/initdr
rm -rf /bin/bprofr
rm -rf /etc/init.d/pwnrig
rm -rf /etc/rc.d/init.d/pwnrig
rm -rf /etc/rc.d/rc2.d/S90pwnrig
rm -rf /etc/rc.d/rc3.d/S90pwnrig
rm -rf /etc/rc.d/rc4.d/S90pwnrig
rm -rf /etc/rc.d/rc5.d/S90pwnrig
2、对于pwnrig和-bash文件也是,删除里面代码,再加锁;
3、删除定时任务和干掉进程;
20201102记录
============================================================
相关病毒文件:
/etc/init.d/pwnrig
/etc/rc.d/init.d/pwnrig
/usr/bin/initdr
/usr/bin/crondr
/usr/bin/sysdr
/usr/bin/bprofr
以上如果还存在问题,可以参考这篇文章处理: