記一次Linux病毒解決
引言
伴隨着服務器的使用,不可避免的會遇到一次中病毒的情況,如果沒有花錢買備份的話,重裝系統損失會重大,所以在次記錄一次排查Linux病毒
1.病毒起因
主要原因可能是,在遠程服務器開啓遠程調用的時候沒有給redis設置密碼,以及開放源爲0.0.0.0/0,然後中招的挖礦病毒,主要幕後黑手有networkservice、sysguard、sysupdate
首先使用top命令查看進程cpu佔用情況
確定是病毒存在無疑了
2.定位病毒
使用top命令得出進程號(PID) 我這裏是2147和3686
ps -aux | grep redis //查看redis運行的路徑
殺掉進程 kill -9 id
進入/var/spool/cron發現幾個文件和病毒文件名很像
redis
rm -rf redis 發現無權限無法刪除
lsattr redis //查看文件屬性
-------------e-- redis //只是可執行的無法修改
進入/etc目錄發現綠色的幾個文件(networkservice、sysguard、update.sh、config.json)都是病毒,rm -rf 文件進行刪除
無法刪除的時候可以chattr -i 文件名 改變可修改的屬性
然後再進行刪除networkservice、sysguard、update.sh(重點刪除)、config.json
會腳本或shell編程的人可以去研究一下vim update.sh裏面的腳本,會有惡意代碼,追根溯源!
先幹掉sysupdate
ps -aux | grep sysupdate //找到關於病毒的進程
ls -l proc/{進程號}/exe //找到關於病毒的進程
~]# pkill sysupdate
~]# rm -vfr /etc/update.sh
rm: 無法刪除"/etc/update.sh": 不允許的操作
]# chattr -i /etc/sysupdate //改變文件修改屬性
]# rm -vfr /etc/sysupdate
已刪除"/etc/sysupdate"
ok,文件刪除成功,不過這個qi只是第一步,因爲發現這個文件又創建出來了,說明他有一個守護進程在執行
檢查是否還有免密登錄的後門文件 /root/.ssh/authorized_keys 也一併刪除
重啓完再查看cpu發現佔用很少,然後基本是可以的
3.總結
-
使用 rm 命令直接刪除,會發現提示無法刪除,應該是使用了chattr命令將文件鎖定了
使用命令: chattr -i {文件名} 即可正常刪除 -
在/etc/目錄下還發現一個守護進程文件 /etc/update.sh 也一併刪除了
-
檢查是否還有免密登錄的後門文件 /root/.ssh/authorized_keys 也一併刪除
-
檢查定時任務 crontab -l 將可疑任務清除
最後將服務器重啓,檢查是否還有異常
4. 阿里雲解決
阿里雲服務器安全警告-異常網絡連接-訪問惡意域名
後續情況待第二天看是否收到短信