已知病毒处理脚本

最新推荐文章于 2020-10-23 19:35:00 发布
最新推荐文章于 2020-10-23 19:35:00 发布
阅读量245 收藏
点赞数
分类专栏: Shell Linux 文章标签: shell 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yujia_666/article/details/107328573
版权
Linux 同时被 2 个专栏收录
74 篇文章 3 订阅
订阅专栏
Shell
32 篇文章 3 订阅
订阅专栏

 近期在环境出现过的4个病毒的检测及处理工具,通过检测特征文件判断,下载附件后可放在任意目录执行。

如果有疑似中毒机器可以用这个查一下

执行sh virus.sh --help 可以查看使用帮助

#!/bin/bash
##############################################################
#File Name: virus.sh
#Author: Chen Deyang
#Created Time : 2018-12-13 12:30:00
##############################################################
source /etc/profile
BASE_DIR=$(cd `dirname $0`; pwd)

function show_help {
  echo "virus help page

描述:
  用于已知病毒检测,需要加入一些参数运行。

  参数列表:
    * --check       检测是否有已知病毒
    * --clean       需要输入病毒名,在check的输出中会提供。

  示例:
	sh $BASE_DIR/virus.sh --check;
	sh $BASE_DIR/virus.sh --clean=zigw;
"
}

function check_virus {
  local virus_flag=false;

  # zigw
  [ -e /etc/zigw ] || [ -e /etc/shz.sh ] && echo "------------------------------------------------------------------------------------------------------------------
    疑似存在已知病毒 zigw,请参考以下url确认当前机器现象是否符合描述,若符合则可执行clean语句根据提示进行清理。
    https://www.xzeu.com/index.php/archives/120/

    sh $BASE_DIR/virus.sh --clean=zigw" && virus_flag=true;

  # pastbin_a
  [ -e /etc/ld.so.preload ] || [ -e /usr/local/lib/libdns.so ] || [ -e /usr/sbin/netdns ] && echo "------------------------------------------------------------------------------------------------------------------
    疑似存在已知病毒 pastbin_a,请参考以下url确认当前机器现象是否符合描述,若符合则可执行clean语句根据提示进行清理。
    pastebin有多种分支,需要确认具体中的是哪一种。
    http://blog.51cto.com/xvjunjie/2306502

    执行将清空crontab已有定时任务
    sh $BASE_DIR/virus.sh --clean=pastbin_a" && virus_flag=true;

  # pastbin_b
  [ -e /etc/ld.so.preload ] || [ -e /usr/local/lib/libntpd.so ] || [ -e /usr/local/bin/dns ] && echo "------------------------------------------------------------------------------------------------------------------
    疑似存在已知病毒 pastbin_b,请参考以下url确认当前机器现象是否符合描述,若符合则可执行clean语句根据提示进行清理。
    pastebin有多种分支,需要确认具体中的是哪一种。
    https://blog.csdn.net/lang363/article/details/82354830

    执行将清空crontab已有定时任务
    sh $BASE_DIR/virus.sh --clean=pastbin_b" && virus_flag=true;

  # iacpkmn
  [ -e /usr/lib/libiacpkmn.so.3 ] || [ -e /etc/rc.d/init.d/nfstruncate ] || [ -e /usr/bin/nfstruncate ] && echo "------------------------------------------------------------------------------------------------------------------
    疑似存在已知病毒 iacpkmn,请参考以下url确认当前机器现象是否符合描述,若符合则可执行clean语句根据提示进行清理。
    http://blog.51cto.com/10950710/2123114

    sh $BASE_DIR/virus.sh --clean=iacpkmn" && virus_flag=true;

  if [ $virus_flag = true ] ;then
    echo "------------------------------------------------------------------------------------------------------------------"
  else
    echo "未检测到已知病毒";
  fi

}

function clean_virus {
  local virus_name=$1
  case $virus_name in
    "zigw")
      clean_zigw; 
      ;;
    "pastbin_a") 
      clean_pastebin_a;
      ;;
    "pastbin_b") 
      clean_pastebin_b;
      ;;
    "iacpkmn") 
      clean_iacpkmn;
      ;;
    *)
      echo "非已知病毒,请确认输入是否正确";
      exit;
      ;;
  esac
}

function clean_zigw {
  chattr -i /etc/zigw
  chattr -i /etc/shz.sh
  chattr -i /tmp/zigw
  chattr -i /tmp/shz.sh
  rm -rf /etc/zigw
  rm -rf /etc/shz.sh
  rm -rf /tmp/zigw
  rm -rf /tmp/shz.sh
  
  kill -9 `ps -ef|grep shz.sh|grep -v grep|awk '{print $2}'`
  kill -9 `ps -ef|grep zigw|grep -v grep|awk '{print $2}'`
  
  mv /usr/bin/get /usr/bin/wget
  mv /usr/bin/url /usr/bin/curl
  
  echo "----------------------------------------------------------------------------"
  echo "已完成zigw处理"
  echo "建议重启redis服务"
  echo "----------------------------------------------------------------------------"
}

function clean_pastebin_a {
  iptables -D INPUT -p TCP --dport 6379 -j REJECT
  iptables -D INPUT -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT
  
  rm -rf /etc/ld.so.preload
  rm -rf /usr/local/lib/libdns.so
  rm -rf /bin/httpdns
  rm -rf /usr/sbin/netdns
  rm -rf /etc/init.d/netdns
  
  sed -i '/etc\/cron.hourly/d' /etc/crontab ;
  sed -i '/etc\/cron.daily/d' /etc/crontab ;
  sed -i '/httpdns/d' /etc/crontab ;
  
  rm -rf /var/spool/cron/crontabs;
  echo > /var/spool/cron/root;
  echo > /etc/cron.d/apache;
  echo > /etc/cron.d/root;
  echo > /etc/cron.d/system;
  echo > /etc/cron.daily/oanacroner;
  echo > /etc/cron.hourly/oanacroner;
  echo > /etc/cron.monthly/oanacroner;
  
  kill -9 `ps -ef|grep kworkerds|grep -v grep|awk '{print $2}'`
  echo "----------------------------------------------------------------------------"
  echo "已完成pastebin_a处理"
  echo "挖矿脚本在/tmp/目录内,根据环境判断是执行rm -rf /tmp/* 还是单独寻找处理"
  echo "建议重启redis服务"
  echo "原有的定时任务已经被挖矿脚本清除,需要参考其他环境重新设定定时任务"
  echo "本病毒容易短期复发,需要在1小时后复查环境确认是否仍有异常"
  echo "----------------------------------------------------------------------------"
}

function clean_pastebin_b {
  echo "" > /etc/crontab
  echo "" > /var/spool/cron/root;
  rm -f /etc/cron.hourly/oanacroner 
  rm -f /etc/cron.daily/oanacroner
  chattr -i /usr/local/bin/dns && rm -f /usr/local/bin/dns
  chattr -i /etc/ld.so.preload && echo "" > /etc/ld.so.preload
  chattr -i /usr/local/lib/libntpd.so && rm -f /usr/local/lib/libntpd.so
  chattr -i /var/spool/cron/crontabs/root && rm -f /var/spool/cron/crontabs/root
  chattr -i /var/spool/cron/root && rm -f /var/spool/cron/root
  rm -f /tmp/kworkerds
  rm -f /tmp/.a
  rm -f /tmp/.38*
  chattr -i /etc/cron.d/0hourly && rm -f /etc/cron.d/0hourly
  chattr -i /etc/cron.d/apache && rm -f /etc/cron.d/apache
  chattr -i /etc/cron.d/root && rm -f /etc/cron.d/root
  chattr -i /etc/cron.d/system && rm -f /etc/cron.d/system
  pkill python
  kill -9 `ps -ef|grep kworkerds|grep -v grep|awk '{print $2}'`
  echo "" > /var/log/cron
  history -c
  
  echo "----------------------------------------------------------------------------"
  echo "已完成pastebin_b处理"
  echo "建议重启redis服务"
  echo "原有的定时任务已经被挖矿脚本清除,需要参考其他环境重新设定定时任务"
  echo "本病毒容易短期复发,需要在1小时后复查环境确认是否仍有异常"
  echo "----------------------------------------------------------------------------"
}

function clean_iacpkmn {
  sed -i '/iacpkmn/d' /etc/crontab ;
  sed -i '/iacpkmn/d' /var/spool/cron/root ;
  chattr -i /usr/lib/libiacpkmn.so.3 && rm -rf /usr/lib/libiacpkmn.so.3
  chattr -i /etc/rc.d/init.d/nfstruncate && rm -rf /etc/rc.d/init.d/nfstruncate
  chattr -i /usr/bin/nfstruncate && rm -rf /usr/bin/nfstruncate
  find /etc -name "S01nfs*"|xargs rm -f
  
  ps -aux --sort=-pcpu|head -10;
  
  echo "----------------------------------------------------------------------------"
  echo "已完成iacpkmn文件处理,请继续根据以下说明处理异常进程"
  echo "请确认当前cpu高的进程是否为[xfsdatad] 或者.sh等类似异常进程名,若是则将其kill -9"
  echo "本病毒容易短期复发,需要在1小时后复查环境确认是否仍有异常"
#  echo "本问题疑似为tomcat8.5.16漏洞导致"
  echo "----------------------------------------------------------------------------"
}


# 参数初始化
virus_name=
while [ $# -ge 0 ]; do
  for i in $@; do
    if [ $i = "--help" ]; then
      show_help
      exit
    elif [ $i = "--check" ];then
      check_virus
      exit
    elif [ ${i%=*} = "--clean" ];then
      virus_name=${i#*=}
    fi
  done
  if [ -z ${virus_name} ] ;then
    echo "参数接收异常,运行\"sh $BASE_DIR/virus.sh --help\"查看帮助信息"
    echo "Parameters receiving incomplete, execute \"sh $BASE_DIR/virus.sh --help\" to view Help information"
  else
    # 清理病毒
    clean_virus ${virus_name};
  fi
  exit 1
done

 

牛牛Blog
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见病毒清理脚本.bat
09-22
将目前几种常见的病毒感染的文件名字, 做到该文件当中,运行后可以有效消除和预防某些病毒的感染
kissme病毒原理描述及python清除脚本
Cashey1991的专栏
11-23 4361
应该很多人都中过这样一个病毒,它是从U盘中毒的,中毒后的电脑文件夹都变成了exe格式,真正的文件夹都被隐藏掉了(如果隐藏了文件后缀名,根本看不出来文件夹是假的)。 这个病毒其实是一类病毒,有很多个修改版本,而kissme病毒(传奇天使病毒)是一个典型的例子。 @1.kissme病毒描述: 病毒在运行时,进程里有kissme.exe和kiss.exe,并且无法杀死这两个进程(这两个进程是互
RT Thread文件管理
weixin_46158019的博客
10-23 732
打开或者建立文件RTThread指定打开文件的方式有如下几种O_RDONLY——只读方式打开文件O_WRONLY——只写方式打开文件O_RDWR——以读写方式打开文件O_CREAT——...
(“1KB文件夹快捷方式病毒”)自动化清除脚本
08-27
“暴风一号”(“1KB文件夹快捷方式病毒”)自动化清除脚本: 1. 完全由解密后的病毒源代码改写为清除程序,原汁原味 2. 决不会误删除快捷方式 3. 自动恢复文件关联、IE关联及其它被修改的注册表项目 4. 自动将隐藏文件恢复正常属性 5. 文件系统格式自动判断,全自动清除 6. 数秒内清除完毕 7. 可自动清除可移动磁盘上的病毒(重启前一直有效)
计算机信息安全脚本病毒实验
12-31
有关计算机脚本病毒实验报告,希望可以帮助大家吧,
常用三种病毒清理方法
03-01
博文链接:https://eastviking.iteye.com/blog/49391
网络攻防之-针对ms17-010脚本(python)
12-23
网络安全应急演练脚本 网络攻防之—针对ms17-010脚本(python) 一、漏洞简介 1、永恒之蓝介绍: ...目前已知受影响的 Windows 版本包括但不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Win
安铁诺防病毒软件 2008
10-30
强大的已知、未知病毒防御能力、整体防护功能,将会帮助用户在系统、信息以及商业应用中构建强大的病毒防线,件基于AUK防未知病毒引擎构架,可以检测并清除各类蠕虫、脚本病毒、网页病毒和感染型病毒,同时安铁诺...
安铁诺防病毒软件 2006
10-30
其所要解决的是保障计算机和网络本身的安全,可以检测并清除各类蠕虫、脚本病毒、网页病毒、感染型病毒,同时安铁诺率先提出并 实现了病毒通用清除技术,可以准确、高效的清除各类已知、未知病毒nameSX16-YNX1-7YP2-...
evomalware:Evomalware是一个简单的BASH脚本,可以检测恶意软件,病毒后门...尤其是对于PHP文件
05-06
EvoMalware是一个BASH脚本,它可以识别受恶意软件/病毒/后门感染的文件(仅PHP ATM)。 主要目标是在cron作业中使用以生成报告,但可以在“单发”模式下使用。 该脚本使用3个纯文本文件作为数据库: evomalware....
病毒实验报告
05-30
有关病毒方面课程的实验内容 实验一 PE结构分析及DOS病毒感染与清除 一、实验目的 1.熟悉PE文件结构 2.掌握DOS系统下.EXE文件病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)手工或编程从user32.dll中获得MessageBoxA的函数地址; 2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE Explorer、PEditor、Stud_PE等工具软件查看、分析PE文件格式。针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改; 3)示例病毒exe_v感染原理及其清除 实验二 Windows病毒分析与防治 一、实验目的 掌握Windows病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)编程实现Immunity病毒; 2)修复被Immunity感染的host_pe.exe 3)编程实现脚本病毒或宏病毒,参考相关章节爱虫/梅丽莎病毒;修复被上述病毒感染的系统 实验三 蠕虫/木马的分析与防治 一、实验目的 掌握蠕虫/木马感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)实现“冲击着清除者”病毒; 2)实现远程线程动态嵌入技术的木马并验证; 3)实现木马远程监视/控制; 4)修复被上述病毒感染的系统
kworkerds 挖矿木马简单分析及清理
叨叨软件测试
03-22 433
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。 现象 top 命令查看,显示 CPU 占用 100%,进程名无明显规则,如:TzBeq3AM。 进程有时候会被隐藏,通过分析脚本删除部分依赖文件,可以显示出来。 存在可疑的 python 进程。 crontab 被写入了一个定时任务,每半小时左右会...
认识常见脚本病毒及防范
幸福诗歌的博客
03-27 5748
1. 简单系统命令隐藏病毒:如自动重启病毒: 打开记事本,写入“shutdown /r”命令,保存为名字.bat 文件,创建快捷方式(.link)右键属性,可以更改图标以迷惑对方,当点击运行的时候计算机会自动重启。 U盘病毒一般可隐藏,所以插入后有病毒提示但是文件中如果没显示,可以进行杀毒再使用。 VBS 病毒生成机器 以.vbs结尾的文件 又如刷qq群脚本: ...
挖矿病毒 解决思路 xmr
weixin_34361881的博客
11-26 2176
基本上通过服务器挖矿只能利用cpu的性能了,所以 top查看cpu利用率,但是程序会影藏,让你看不见,解决:删除/usr/local/lib/libntp.so ,后面ssh登录会出现错误提示,解决方法:编辑 .bashrc检查启动脚本 /etc/cron.d/root 有可能会新建文件夹并影藏,使用ls -a 查看。检查/tmp路径下文件,删除/tmp/kworkerds使用top查看pid,...
windowsserver安全加固脚本
最新发布
07-04
2. 更新补丁管理:脚本可以自动检查和安装最新的安全补丁和更新,以修复已知漏洞和强化系统的稳定性与安全性。 3. 强化安全策略:脚本可以自动评估和修改系统的安全策略,限制用户权限和访问权限,加强强密码策略,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值