记一次简单的挖矿病毒清除---实战

 

1、top 命令查看进程,cpu使用达到100%

此处尝试使用 kill -9+ 进程号  ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务

2、查看木马保存路径

通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,上图PID 为进程号

3、进入到木马文件所在路径

通过进程号定位到病毒文件后,进入到对应的目录

cd  /usr/lib/updated   

ls  或者 ls -alh  

4、使用删除命令  rm -rf  + 病毒文件名

发现设置了文件特殊属性,不能强制删除

5、查看与清除文件特殊属性

a)、查看属性  :  lsattr + 文件名

b)、去除特殊属性 : chattr -a +文件名   或者   chattr -i  +文件名

也可以使用    chattr -ia  *     " * " 号指当前目录下所有文件

c)、去除挖矿病毒文件特殊属性后,便可以清除病毒,或者备份以供溯源

lsattr  命令介绍

Linux  lsattr 命令用于显示文件的属性

语法:

lsattr  【-参数】 文件名或路径

参数:

  1. -a  显示所有文件和目录,包括以"."为名称开头字符的额外内建,现行目录"."与上层目录".."。
  2. -d  显示,目录名称,而非其内容。
  3. -l  此参数目前没有任何作用。
  4. -R  递归处理,将指定目录下的所有文件及子目录一并处理。
  5. -v  显示文件或目录版本。
  6. -V  显示版本信息。

实例:

# lsattr /etc/resolv.conf

输出结果:

----i-------- /etc/resolv.conf

chattr   命令介绍

Linux chattr 命令用于防止系统中某个关键文件被修改

语法: (与chmod 命令语法相同,仅参数不同)

chattr  +/-  【参数】 文件或路径

参数:

  1. a: 文件只能增加内容不能减少内容, 不能删除文件;
  2. b:不更新文件或目录的最后存取时间。
  3. c:将文件或目录压缩后存放。
  4. d:将文件或目录排除在倾倒操作之外。
  5. i:静态文件永不变。 文件有了i属性, 内容不能变,文件不能删除。
  6. s:保密性删除文件或目录。
  7. S:即时更新文件或目录。
  8. u:预防意外删除。

实例:

# chattr +i /etc/resolv.conf
# lsattr /etc/resolv.conf

输出结果:

----i-------- /etc/resolv.conf

6、 清除定时任务

crontab -l  # 表示列出所有的定时任务
crontab -r  # 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除

存在文件属性问题,同上去除属性后删除

crontab -r

 lsattr /var/spool/cron/root  查看权限

 chattr -ia /var/spool/cron/root  清除权限

7、在线恶意文件检测平台

VirSCAN:https://www.virscan.org/language/zh-cn/

腾讯哈勃分析系统:https://habo.qq.com

魔盾安全分析:https://www.maldun.com/submit/submit_file/

微步在线云沙箱:https://s.threatbook.cn/

Jotti的恶意软件扫描系统:https://virusscan.jotti.org/

Falcon Sandbox:https://www.hybrid-analysis.com/

VirusTotal:https://www.virustotal.com/gui/home

奇安信文件深度分析平台:https://sandbox.ti.qianxin.com/

ScanVir:http://www.scanvir.com/


 

 转自:几个比较有用的:在线病毒扫描,可疑软件检测,在线安全分析扫描网站 - 知乎

  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值