-
發現病毒
- 整齊劃一的進程,且自己沒有做過這樣的部署。發現不對勁,於是馬上使用kill命令幹掉這些進程。神奇的事情發生了,這些進程就像不倒翁一樣,幾個kill命令過去它們又重新站了起來。
-
定位病毒
- 使用top命令得出進程號(PID)
- 使用命令ls -l proc/{進程號}/exe得出文件位置
-
清除病毒
- 刪除在 /etc/ 目錄下還發現一個守護進程文件 /etc/update.sh
- 使用 rm 命令直接刪除,會發現提示 cannot remove 'XXX'Operation not permitted
- lsattr 查看隱藏屬性
- lsattr update.sh
![]()
- 除去隱藏屬性
- chattr -i update.sh
![]()
- lsattr 查看隱藏屬性
- 檢查是否還有免密登錄的後門文件 /root/.ssh/authorized_keys 也一併刪除
- 檢查定時任務 crontab -l 將可疑任務清除
- 最後將服務器重啓,檢查是否還有異常
