1、top 命令查看进程,cpu使用达到100%
此处尝试使用 kill -9+ 进程号 ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务
2、查看木马保存路径
通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,上图PID 为进程号
3、进入到木马文件所在路径
通过进程号定位到病毒文件后,进入到对应的目录
cd /usr/lib/updated
ls 或者 ls -alh
4、使用删除命令 rm -rf + 病毒文件名
发现设置了文件特殊属性,不能强制删除
5、查看与清除文件特殊属性
a)、查看属性 : lsattr + 文件名
b)、去除特殊属性 : chattr -a +文件名 或者 chattr -i +文件名
也可以使用 chattr -ia * " * " 号指当前目录下所有文件
c)、去除挖矿病毒文件特殊属性后,便可以清除病毒,或者备份以供溯源
lsattr 命令介绍
Linux lsattr 命令用于显示文件的属性
语法:
lsattr 【-参数】 文件名或路径
参数:
- -a 显示所有文件和目录,包括以"."为名称开头字符的额外内建,现行目录"."与上层目录".."。
- -d 显示,目录名称,而非其内容。
- -l 此参数目前没有任何作用。
- -R 递归处理,将指定目录下的所有文件及子目录一并处理。
- -v 显示文件或目录版本。
- -V 显示版本信息。
实例:
# lsattr /etc/resolv.conf输出结果:
----i-------- /etc/resolv.conf
chattr 命令介绍
Linux chattr 命令用于防止系统中某个关键文件被修改
语法: (与chmod 命令语法相同,仅参数不同)
chattr +/- 【参数】 文件或路径
参数:
- a: 文件只能增加内容不能减少内容, 不能删除文件;
- b:不更新文件或目录的最后存取时间。
- c:将文件或目录压缩后存放。
- d:将文件或目录排除在倾倒操作之外。
- i:静态文件永不变。 文件有了i属性, 内容不能变,文件不能删除。
- s:保密性删除文件或目录。
- S:即时更新文件或目录。
- u:预防意外删除。
实例:
# chattr +i /etc/resolv.conf# lsattr /etc/resolv.conf输出结果:
----i-------- /etc/resolv.conf
6、 清除定时任务
crontab -l # 表示列出所有的定时任务
crontab -r # 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除
存在文件属性问题,同上去除属性后删除
crontab -r
lsattr /var/spool/cron/root 查看权限
chattr -ia /var/spool/cron/root 清除权限
7、在线恶意文件检测平台
VirSCAN:https://www.virscan.org/language/zh-cn/
腾讯哈勃分析系统:https://habo.qq.com
魔盾安全分析:https://www.maldun.com/submit/submit_file/
微步在线云沙箱:https://s.threatbook.cn/
Jotti的恶意软件扫描系统:https://virusscan.jotti.org/
Falcon Sandbox:https://www.hybrid-analysis.com/
VirusTotal:https://www.virustotal.com/gui/home
奇安信文件深度分析平台:https://sandbox.ti.qianxin.com/
ScanVir:http://www.scanvir.com/