本文详细描述了如何在遇到root用户密码被修改、系统CPU占用过高及病毒感染的情况后,通过进入单用户模式、修改密码、清理病毒服务、删除异常用户和强化系统安全的过程。
注意需要修改为强密码,不用设置弱密码。
1.root用户密码被修改导致无法登陆(普通用户貌似可以登录)
1.1进入单用户模式
重启机器,在开机页面按e,进入紧急救援模式后修改如下记录:
修改为:
修改后按ctrl + x 进入
chroot /sysroot 进入根目录
passwd root 创建新密码
2. 登录系统
2.1.服务器cpu100%,top后无异常进程(考虑进程被隐藏)
1.1 打开隐藏的进程
vim /etc/ld.so.preload
删除该行记录(删除前记得备份一下cp /etc/ld.so.preload /etc/ld.so.preload.bak)
保存重新查看进程
可以看到有异常进程服务sshc
top命令后按1展开cpu各核心情况,按c查看后,按P排序,top命令基本用法
可以看到/root/.cfg/./sshc服务,切换到当前目录下看到,异常文件
查看定时任务列表(一般系统自启动的进程,会追加到定时任务列表中)
crontab -l
看到有个异常定时任务(不是自己创建的),也可以找到该病毒文件所在目录
3.清除病毒
3.1删除定时任务
crontab -e 进行定时任务编辑,直接删除记录
3.2 删除病毒文件
rm -rf /root/.cfg/ 因为我系统内没有会在.cfg文件夹下的写数据的程序,所以直接删除。
查看系统服务:cd /lib/systemd/system目录下
执行ll -rt 看到异常服务 myservice.service,最近创建的且不是自己建的系统服务
先停掉该系统服务
执行 systemctl status myservice.service 看到病毒正在运行
停掉服务:systemctl stop myservice.service
去掉自启动:systemctl disable myservice.service
删除该服务对应的启动文件(/usr/bin/player)
4. 删除病毒新增的用户
进入home目录下直接ls看到新增了一个用户tutu,ubuntu的系统好像看不到该用户,但是也存在,可cat /etc/passwd及cat /etc/shadow进行查看
直接删除该用户提示有进程在运行
使用vipw 及vipw -s 需要注意这个必须都要操作。
vipw 后直接删除tutu用户的那一行
执行vipw -s后提示只读,需要修改/etc/shadow的权限我是直接 chmod 777 /etc/shadow修改后又 chmod 0 /etc/shadow 修改回去。
再次删除提示用户不存在
5. 注意到#前的-bash-4.2 跟原来的不一致。
改用户配置了环境变量,直接把tutu的文件夹删除
查看root用户目录下的.bashrc文件 发现被病毒删除了。
拷贝一份
将其加入/etc/profile 环境变量
if [ -f /etc/bashrc ]; then
. /etc/bashrc
fi
在文件最后追加即可
执行source /etcprofile 发现已修改回来。
6. 最后把系统内所有用户的密码都加强一下。
扫一扫
8192
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
