linux感染十字符病毒,linux解决病毒系列之一,删除十字符libudev.so病毒文件

最新推荐文章于 2023-10-10 21:09:39 发布
最新推荐文章于 2023-10-10 21:09:39 发布
阅读量287 收藏
点赞数
文章标签: linux感染十字符病毒

前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。

用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。

我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。

这病毒怎么解决了?

比如病毒为:abcdefjhee

1.which abcdefjhee

会发现病毒在 /usr/bin/abcdefjhee 这里

2.cat /etc/crontab 查看定时任务

你会发现定时任务,其余几个定时任务你可查看

3.开干病毒

kill -stop 病毒进程

4.锁定相关目录,暂时不要让新文件生成

chmod 000 /usr/bin/abcdefjhee

chattr +i /usr/bin

chattr +i /bin/

chattr +i /tmp/

5.然后cat /etc/crontab 打开文件,你会看到脚本有个/etc/cron.hourly/gcc.sh的文件

6.然后

cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

7.然后找到位置,把病毒文件删除掉

8.然后吧定时任务中文件删掉

rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

9.移除跟这个病毒相关的信息

find /etc -name '*abcdefjhee*' | xargs rm -f

10.rm -f /usr/bin/abcdefjhee

11.查看最近的运行的命令,奇怪的删掉

ls -lt /usr/bin | head

12.杀死病毒进程

pkill abcdefjhee

13.把最开始文件权限打开

chattr -i /usr/bin

chattr -i /bin/

chattr -i /tmp/

最后用top 在观察,chkconfig --list 查看是否有异常应用占用网络带宽

基本搞定...

这次让我明白了,服务器要做好监控了,不然病毒来了,不好解决

沐曦baba
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
编译完成的arm架构下的libudev动态库
08-24
编译完成的arm架构下的libudev动态库 包含.so库和h文件
一起linux虚机感染挖矿病毒对外恶意传播的处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-04 1187
问题描述 虚机因对外恶意发包,被云服务提供商封堵22端口,导致无法ssh;通过修改ssh端口号,登录后top发现,有2个占用cpu 99%的同名进程在运行,叫gpg-agentd; 影响范围:一台linux虚机 问题分析及过程: 通过google搜索发现,GPG提供的gpg-agent提供了对SSH协议的支持,这个功能可以大大简化密钥的管理工作。但是我们发现的异常进程是gpg-agentd,多了一个字母d,属于伪装程序。 根据gpg-agentd的进程pid:23374,通过ps命令查看进程启动路径、通过n
Linux服务器中毒事件(libudev.so)
anhuoqiu1787的博客
06-21 359
  今天机房管理人员反馈公司的某台服务器在防火墙上的连接数超限,登陆服务器时发现非常卡顿,远程登录后查看,CPU持续100%,且有一长度为10的随机字串进程,kill掉,会重新生成另外长度为10的字串进程。删除文件也会重复生成,非常痛苦。查阅crontab,并没有发现相关定时任务,整个排查思路如下: 1、查看主机负载,确认可疑进程 PID USER PR NI VIR...
linux 病毒程序自动启动进程分析,linux系统下病毒排除思路
weixin_39940425的博客
04-29 807
1、top查看是否有特别吃cpu和内存的进程,病毒进程kill是杀不死的,因为ps命令被修改2、ls -la/proc/病毒进程pid/ pwd为病毒进程程序目录 一般在/usr/bin下3、/bin/ps,/bin/netsta程序都是1.2M的大小,显然被人掉包 ps 改成了ips4、进入/usr/bin下 ls -lart 查看最近被修改的程序 .25unix为守护进程5、杀死守护进...
移动linux目录的病毒,记一次Linux病毒处理
weixin_39662578的博客
04-29 454
病毒特征比较明显,进程列表中会出现十位随机字母病毒进程,并占用大量CPU。除此之外还会在修改 /etc/crontab 和新增文件/etc/cron.hourly/gcc.sh 来启动定时任务。/etc/cron.hourly/gcc.sh 内容如下 脚本内容如下:打开网卡,然后启动 libudev.so。该程序还会同时启动多个进程来监控 libudev.so 进程是否被杀掉,如果被关掉了,会再把...
Anyshare-libudev.so病毒处理
03-07
Anyshare-libudev.so病毒处理,包含处理步骤,相关命令等信息
编译好arm平台下的libudev
06-14
Linux系统中,libudev库扮演着至关重要的角色,它是一个用于管理硬件设备的库,主要处理设备节点的创建、删除以及设备事件监控。在标题和描述中提到的"编译好arm平台下的libudev库",是针对ARM架构的嵌入式设备或...
Linux如何使用libudev获取USB设备VID及PID
09-14
Linux操作系统提供了丰富的API和工具来管理硬件设备,其中包括libudev库,它是一个用于与设备交互的用户空间库,尤其在动态设备管理方面表现突出。在本文中,我们将深入探讨如何利用libudev库在Linux中获取USB设备的...
STM32MP135实现cmake驱动【支持STM32MP1系列单片机_Linux驱动】.zip
04-28
STM32MP135是一款基于ARM Cortex-A7双核处理器和Cortex-M4协处理器的微控制器,专为嵌入式系统设计,尤其适用于工业和消费类电子产品。这款芯片集成了丰富的外设接口和高性能计算能力,为开发人员提供了在Linux操作...
libudev-241.tgz
07-21
libudev是由 systemd 项目开发并维护的一个库,它的主要目标是提供一种灵活且高效的方式来处理设备的添加、删除和状态变化。在传统的Linux系统中,这些任务通常由udev守护进程完成,而libudev则作为与udev交互的接口...
Linux入侵检测病毒清理流程
Climbman的博客
06-23 2391
Linux入侵检测病毒清理流程1.前言:根据阿里云快讯病毒公布:Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
查杀Linux服务器病毒进程并对Linux中的文件描述FD进行简单探索
得未曾有 心净踊跃
10-10 697
内存映射文件是一种将文件内容映射到进程的虚拟内存空间的机制,允许对文件进行像访问内存一样的操作。,每一个号链接指向该进程打开的文件、套接字、管道。个人觉得在文件系统中他的呈现就是一个号链接,可以通过该号链接获取进程打开的文件或。上图是我在服务器上查到的病毒程序,为了彻底把他干掉,同时满足自己的好奇心,我没有直接把干掉。在今天查杀服务器病毒程序的过程中,顺便挖掘了一些新的知识,现在把他总结成一篇文章记录一下。:当前进程的工作目录,表示当前进程的工作目录。查看该进程和哪些文件有关,加深对FD的理解。
linux-隐藏进程-病毒进程
weixin_41410744的博客
09-11 178
错误:ld.so:无法预加载/etc/ld.so.preload中的对象“/usr/local/lib/bioset.so”:忽略。
Linux系统占用cpu病毒处理记录
一本正经学技术
09-24 1035
一、现象 近期服务器上面不知从哪里感染病毒,导致CPU占用率特别高,中间临时处理过,由于不是专业处理,只能手动查看进程并结束进程ID号。 但手动的办法只能临时解决病毒会再次启动,占用服务器cpu资源,查看定时任务,也没有相关任务记录。 crontab -l #无相关定时任务列表显示,如下图 二、经验 昨天刚处理过一台云服务器的kthreaddk病毒程序,处理方法简单记录如下: 1、查看异常进程,并kill掉,例如异常进程pid为26525 [root@hostname /]# kill -9 26
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 645
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
linux系统中病毒怎么解决,Linux 服务器中木马病毒及清除过程
weixin_39731456的博客
04-29 1775
一、背景晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。二、发现并追踪处理1、查看流量...
linux 病毒程序自动启动进程分析,Linux病毒(木马)导致带宽跑满的解决过程
weixin_29549793的博客
04-29 682
这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现异常,查看数据库也都正常,也没有错误日志,查看系统日志,也没有看到异常,但是系统的登录日志被清除了,赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。这是个什么进程呢,每次p...
Ubuntu找不到libudev.so.0库
Cyril's Blog
07-09 1万+
问题现象在Ubuntu下很多软件通过deb安装之后发现点击打开,结果却打不开.所以我用terminal去执行程序.发现了error while loading shared libraries: libudev.so.0: cannot open shared object file: No such file or directory.这个提示就是说明了无法加载libudev.so.0这个动态库.
error while loading shared libraries: libudev.so.1: cannot open shared object file: No such file or directory
最新发布
12-30
Linux系统中,共享库文件通常以.so文件的形式存在,用于在程序运行时提供所需的功能。当程序在运行时无法找到所需的共享库文件时,就会出现"error while loading shared libraries"的错误。 解决这个问题的方法是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值