上次已經被抓去挖礦了當了一次曠工了,本以爲解決了,沒想到竟然死灰復燃。
這次佔用cpu的依然是一個ld-linux的進程,kill掉之後同樣就查了關於test用戶的進程,果然,test用戶的進程有100+個,比不上上次,還是用上次的腳本,將test的進程也kill掉。爲防止惡意添加用戶,將/etc/passwd 文件裏的test用戶刪除後,給該文件添加了隱藏權限 i ,具體功能不知道的可以查下,此處不多介紹。再把主進程ld-linux幹掉之後cpu直接降下來。
這已經是第二次了,爲了防止還有第三次,決定徹底查找該挖礦病毒。於是 find 查找了關於 ld-linux 的文件,結果如下:
/tmp/.xm/stak/ld-linux-x86-64.so.2
/usr/lib64/ld-linux-x86-64.so.2 -> ld-2.17.so
/usr/share/man/man8/ld-linux.so.8.gz
/usr/share/man/man8/ld-linux.8.gz可以看到第一條的記錄:/tmp/.xm/stak/ld-linux-x86-64.so.2
是在tmp的一個隱藏目錄下的文件裏面,有個ld-linux-x86-64.so.2,並且這個文件和/usr/lib64/ld-linux-x86-64.so.2名字一模一樣,爲什麼這麼說,你應該知道linux惡意進程基本都是僞裝成其他進程的,就是名字和一些文件的名字一樣。如果不這樣,你一看進程:“這是個啥進程,沒見過,幹掉!”,這樣可能太對不起IT×××大佬寫的代碼了。
將/tmp/.xm/stak/ld-linux-x86-64.so.2 轉移並取消權限(爲了日後有時間研究下)。
接着搞第二條。由於才疏學淺,也沒注意看/usr/lib64/ld-linux-x86-64.so.2 -> ld-2.17.so 是幹啥的,就mv直接轉移到了root的一個文件夾下,結果.............除了 cd 和pwd 命令之外的所有命令都不能用了,而且xshell連接也連接不上,一直顯示拒絕連接。後來查了資料,這是一個什麼動態庫的文件,在系統裏很是重要。現在僅有電腦上保持連接狀態的三個xshell框,而且是啥也做不了。
百度、羣裏探討、找解決方法。
試過ftp,試過scp.....想辦法把ld-linux-x86-64.so.2還mv到原來的目錄,或者從別的系統上覆制過去。都沒成功,預料的結果。
想到一起用的單用戶模式修改root密碼,就試試看能不能解決這個文件的問題。結果是能進去,但是文件不是互通的,就是裏面的文件系統並不是原來系統裏的東西,root下原本應該有的 ld-linux-x86-64.so.2 文件並不存在,也就沒辦法操作了。
後來查到救援模式的方法,centos7以前的系和centos7的救援模式是不一樣的,具體的自己查。
此處有兩個坑:
1.這個ro,當時我找了好久,如果你也找不到的話可以試試在拐角處,一行的末尾是 r/ ,下一行的開頭是 o ,明白了吧,換行處有個/符號;
2.這個系統的救援模式是不管用的,還是別試了;好,下面開始說怎麼拯救 ld-linx 。
系統的救援模式不管用,但是還有光盤的救援模式,準備一個刻錄好的系統盤吧。
1.進入系統Bios設置,進光盤啓動:
2.選擇第三個Troubleshooting:
3.然後再選擇第二個Rescue a CentOS Linux system,具體看選項,意思是“拯救一個centos系統”:
4.輸入 1 ,然後回車即可;
5.就會進入這個界面:
###
這就是光盤的救援模式了,現在所用的命令都是這個系統盤的,基本都能用。
原來服務器的系統會被光盤掛載到 /mnt/sysimage/ 文件夾下,進去之後會發現,裏面的文件和你之前系統的一樣(其實就是)。
這樣就可以操作了,去目錄裏把 ld-linux-x86-64.so.2 複製或者剪切到原來的目錄吧,但是注意路徑,(此處敲黑板3次),你原系統的根目錄是/mnt/sysimage/!!!!!!(至少我的是,不確定的可以 df -h 看一下),操作的時候一定要看仔細,畢竟到這裏可能是你最後的機會了,一個操作失誤,可能就要刷系統了。
還有就是,這個光盤的救援模式,號稱連繫統內核都可以拯救(就是不知道 rm -rf /* 還能不能救回來),所以只要備份了數據,就總有解決的辦法。
最後,發佈的可能有些着急了,不全面的地方還望包涵,此文章僅供參考;