这几天用户反馈主机说非常卡,反映迟钝,我接手用top检查
我擦嘞,sysupdate这个进程占用百分之百了,一看资源占用这么多,我肯定是挖矿病毒
ps -aux | grep sysupdate
不多说,直接先直接干掉他,让服务器缓缓
~]# pkill sysupdate
~]# rm -vfr /etc/update.sh
rm: 无法删除"/etc/update.sh": 不允许的操作
发现尽然不能删除,我敢肯定是使用chattr命令用于改变文件属性,让我们不能删除,我们需要执行
]# hattr -i /etc/sysupdate
]# rm -vfr /etc/sysupdate
已删除"/etc/sysupdate"
ok,文件删除成功,不过这个只是第一步,因为发现这个文件又创建出来了,说明他有一个守护进程在执行
检查主机的定时任务日志,发现没有记录,说明被清楚了,最后发现在/etc下面有个update.sh脚本,跟用户确定之后,肯定这个脚本是守护进程
分析脚本,发现这个木马作者有点6,还留了一个后门免密要登录,不过遇上我了,这几个文件全部干掉,