1、現象
某臺測試環境主機,root口令簡單,某天被發現某進程(進程名爲亂碼,類似:wswdkfreuo,查看進程執行的命令爲常用系統命令,如who、ls、top、route -n等)極耗CPU,殺掉後分分鐘再次出現,進程名變更成其他亂碼。
2、排查
查看進程相關文件:lsof -p 8054
該進程通過TCP與遠程主機連接。
查看相關命令爲最近創建:ls -lrt /user/bin/
檢查crontab,發現多出一條記錄:cat /etc/crontab
查看gcc.sh
像這種頭部沒註釋(一般系統文件都會帶有較長的註釋,還有License之類的),創建時間又不長的文件,極大概率就是病毒。然後可以看見,這個文件將 libudev.so 不斷複製,這麼來看,病原體主要就是這個文件。
3、處置
1)修改root口令爲強口令
2)註釋掉crontab相關記錄
3)刪除gcc.sh
4)檢查/etc/init.d目錄,/etc/rc#.d/目錄下的所有文件,通過創建日期和進程名判斷該啓動項是否爲病毒,刪除之。也可以通過內容查看是否爲病毒,一般病毒文件裏面內容短小,並且寫法一樣,如下圖:
/etc/init.d目錄
/etc/rc0.d/、/etc/rc1.d/
5)刪除/usr/bin下程序文件,一般啓動文件都是當天創建的,把/bin目錄下的當天創建的啓動項刪掉就好;
查找最近一天的文件:find dir -mtime -1
6)重啓服務器,到這裏按道理一開始病毒沒有通過守護進程開機啓動的話,就不會再啓動了,這時候再把libudev.so刪掉,就沒有問題了。
這裏也可以不用重啓服務器,在刪除gcc.sh的前提下,一併執行下列命令:
rm -f libudev.so ;chattr +i /lib;kill -9 34279 最後這個進程id爲挖礦進程id
執行完後,再次檢查上述3-5步操作;
完了別忘記解除對lib目錄的限制:chattr -i /lib
保險起見,最好再重啓下看看。
4、不當處置
刪除gcc.sh後直接殺掉挖礦進程:將啓動新的挖礦進程,並重新生成gcc.sh;
刪除gcc.sh後直接刪除libudev.so:將重新生成libudev.so,挖礦進程應該在監控該文件
別指望同時執行刪除libudev.so和殺進程能搞定,我已經試過了,不行。
參考:https://blog.csdn.net/yinanmo5569/article/details/79940788