信息收集及kill:
查看监控显示长期CPU利用率超高,怀疑中了病毒
top 命令查看进程资源占用:
netstat -lntupa 命令查看有无ip进行发包
netstat -antp
然而并没有找到对应的进程名
查看java进程和solr进程
ps aux :查看所有进程
除相关进程:kill -9(无条件退出进程)
为了防止有定时任务,再次启动恶意进程
crontab -l 命令查看正在进行中的定时任务
crontab -r 删除所有定时任务
居然没有????
保存样本,删除木马进程文件:
find / -name kdevtmpfsi :查找进程文件(需要root权限)
想要分析这个病毒样本,于是使用sz命令,将进程文件下载
ps -aux | grep kdevtmpfsi
ps -aux | grep kinsing
命令列出恶意进程及其端口号
正常来说用kill -9直接删除“kdevtmpfsi”和“kinsing”就可以结束这个事件了
之后cd入文件 em -rf [文件名] 将进程文件全部删除: