特徵1: 中了病毒後,瘋狂運行CPU
運行用戶是apache
用戶資料:
$ cat /etc/passwd
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
//查看PID對應進程操作
$ strace -p PID
第一次嘗試: 先不急着kill掉程序,因爲對於病毒kill是沒用的
第一直覺肯定是
crontab -l //查看定時任務
crontab -e //修改定時任務
看到第一句就是被惡意修改的定時任務 從xxx.xxx.xx.xxx IP地址獲取
馬上刪掉定時任務,
下一步就是查看該進程中的依賴文件
systemctl status PID
依賴文件分別爲
/var/tmp/kinsing
/tmp/kdevtmpfsi
進行刪除,刪除文件後又被創建
第二次嘗試: 清除用戶, 因爲是apache用戶, 只能對apache這個軟件進行卸載,該用戶進行手動刪除,重裝apache
第三次嘗試: 佔位文件, 有效但是並不徹底解決
第四次嘗試: 找出所有apache用戶創建的文件
$ find / -user apache
找到所有文件下, 帶有cron關鍵字的文件
如下一個可疑的: /var/spool/cron/apache
vi 打開馬上看見一句 定時任務, 可以確定