wk进程导致登陆界面为bash-4.2
重写 .bashrc,导致常用命令失效
解决步骤
1、确认是否被入侵
1.出现以下现象或存在以下目录
2.root用户登录出现 -bash-4.2#
3.netstat 命令回显为空
4.检查系统用户列表是否有 gh0stx, sclipicibosu, mexalzsherifu 三个或其中任意一个
5.查看是否存在/var/tmp/.ladyg0g0/目录
6.查看是否存在/var/tmp/.sl/目录
7.检查/root/.ssh/authorized_keys是否存在异常
8.查看是否存在/usr/.SQL-Unix/.SQL/.db 或者 /var/tmp/.SQL-Unix/.SQL/.db
9.查看是否存在/usr/tmp/.ladyg0g0/.pr1nc35 或者 /var/tmp/.ladyg0g0/.pr1nc35
10.查看是否存在/usr/bin/.pidsclip
11.查看是否存在/usr/bin/.locationesclipiciu
12.检查/usr/bin/sshd 内容是否是如下代码段
2、威胁处理
删除恶意脚本
1.rm -rf /var/tmp/.sl/ 目录
2.rm -rf /var/tmp/.ladyg0g0/ 目录
3.rm -rf /usr/bin/.locationesclipiciu
4.rm -rf /usr/bin/.pidsclip
5.rm -rf /root/.b4nd1d0
6.rm -rf /root/.dorel
7.rm -rf /usr/.SQL-Unix/ 目录
某wk导致登陆界面为bash-4.2**
于 2022-02-24 13:37:14 首次发布