今天服务器被人毒 cpu居高不下 一看进程 java 经过分析是被改名成java在启动的 所以进程名也不可信
干掉计划任务中的计划 删除病毒目录但是删除时提示我没有权限 我可是root用户啊。。。
询问度娘得知 是要删除的文件有档案属性 所以不能删除 据说/ /var /tmp等目录不能加 我也没试不知道是不是真的
所以只需删除该文件的档案属性既可正常删除 当按属性 即文件上有a 和 i属性
[root@xxx .syn64]# rm java -f -r
rm: cannot remove ‘java/java’: Operation not permitted
#通过查看root是有权限删除的
[root@xxx .syn64]# ll
total 5060
drwxr-xr-x 2 root root 18 4月 2 09:45 java
#java/java 有 i和a 属性
[root@xxx .syn64]# lsattr java
----ia---------- java/java
#干掉i和a属性
[root@xxx .syn64]# chattr -i java/java
[root@xxx .syn64]# chattr -a java/java
[root@xxx .syn64]# lsattr java/java
---------------- java/java
[root@xxx .syn64]# rm java -r -f
如果还有其他属性导致删除不了 干掉属性既可
上面是没有权限 如果这个文件被打开了 也删除不了 这时可以获取打开文件的pid干掉 在删除既可以
lsof java/java 或 lsof -D java/java
kill -9 $Pid 让进程被干掉前没法收到信号来干别的事
有了病毒文件备份干掉后想分析分析是怎么做的
查看文件头得知是用什么语言写的 在反编译获得源码
获取文件头信息
通过vim 的:%!xxd命令查看文件的16禁止获取文件头
0000000: 7f45 4c46 0201 0100 0000 0000 0000 0000 .ELF............
得知为elf文件 应该是用c或c++写的 至于怎么反编译c或c++就不知道了
有大佬知道的话可以告诉下