首页 > 基础资料 博客日记
记一次linux复制病毒处理过程
2024-01-24 09:45:01基础资料围观615次
Java资料网推荐记一次linux复制病毒处理过程这篇文章给大家,欢迎收藏Java资料网享受知识的乐趣
某天我的阿里云突然发信息告诉我服务器有自变异木马,我用远程工具连接服务器异常卡顿甚至掉线,reboot也不好使.用阿里云的网页控制台会好些,但还是卡,我又用阿里云控制台重启服务器,重启之后发现服务器完全连不上了,ping也ping不通了,我问了客服说可以用救援连接试试,果然能连上,起初发现连不上的原因是防火墙的问题,后来发现是网络服务挂了,起了network服务之后,远程工具也可以正常连接了,但还是卡顿,我还是用阿里云的网页控制台吧.
上去top 命令一看有个随机字符串的进程名占用了30%的cpu资源,kill掉之后又产生了另一个随机进程名,随后我ll /etc/cron*查看定时任务目录有没有被修改,发现有一个刚刚生成的类似定时任务shell脚本,内容如下:
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp "/usr/bin/vauokamjnsqtyl" "/usr/bin/jyfsttydua"
尝试删除该文件,但立马又生成了一个新的文件,然后我把文件中的cp命令修改为rm -rf命令,还是会重新生成文件.
于是我到/usr/bin目录下用ll -art查看最近修改过的文件,发现有好多随机字符串的文件,我删除还是会复制一个新的文件,上网搜了半天,发现有个chattr命令可以阻止目录生成新的文件,于是我把定时任务目录中的脚本删除再禁止生成新文件:
rm -f *.sh; chattr +i /etc/cron.hourly
正当我准备用同样的方法处理/usr/bin目录的时候,发现/usr/bin目录下复制了几十个同类脚本,简直像吃了屎一样恶心,又到网上搜了半天,发现find命令有个-mtime参数可以找到最近几天内修改过的文件,配合-delete参数可以删除:
find /usr/bin -mtime -1 -type f -delete; chattr +i /usr/bin
这次终于没有新的文件产生了,再看一眼top命令,木马进程也不在了^_^
本文由博客一文多发平台 OpenWrite 发布!
文章来源:https://www.cnblogs.com/HotBoom/p/17983943
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:jacktools123@163.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:jacktools123@163.com进行投诉反馈,一经查实,立即删除!
标签:
相关文章
最新发布
- springboot~3.x项目中使用集成测试
- Java测试类、工具类与JavaBean对比解析
- SpringBoot-日志
- springboot~http2的支持
- 解疑释惑 - 日志体系之 slf4j + logback 组合(一)
- Web server failed to start. Port 8080 was already in use. 端口被占用
- Springboot 项目配置多数据源
- 伙伴匹配系统(移动端 H5 网站(APP 风格)基于Spring Boot 后端 + Vue3 - 05
- 剑指offer-23、搜索⼆叉树的后序遍历序列
- 一个表示金额的数字是 100000000L,这是多少米?