感謝博客 https://blog.csdn.net/guo909022/article/details/115631744
使用top 命令查看CPU使用率,發現dbused進程高居榜首,就是它,幹它!
駐留項
添加4個駐留項如下:
(1)bash啓動項 ~/.bash_profile
在打開終端時將會執行該挖礦木馬,注意需要到對應用戶目錄下清理bash_profile
cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null
1
(2)crontab計劃任務
第一個計劃任務爲下載腳本執行
crontab -l
1
查詢定時任務,發現有任務定時從bash.givemexyx.in/xms 下載病毒文件,可能創建的crontab未知包括
/etc/cron.d/ngnix & apache
/etc/cron.hourly & daily & weekly & monthly
/var/spool/cron
/var/spool/cron/crontabs
另一個計劃任務pwnrig則是直接啓動挖礦進程
查詢啓動腳本的任務,注意,我用的centos *號要用單引號括住
find /etc/ -name '*' | xargs grep 'dbuse' -n 2>dev/null |grep cron
find /etc/ -name '*' | xargs grep 'dbuse' -n 2>dev/null |grep cron
把左側輸出的文件刪掉,如果刪不掉,提示權限問題,則查看文件的屬性
lsattr pwnrig 顯示—i-a---------- pwnrig
使用命令刪除屬性 chattr -i -a pwnrig 之後就可以刪除了
依次查看rc.d init.d 系統服務
相關文件統統刪掉
進入到定時任務的文件夾/var/spool/cron/ 發現有個root的定時任務,刪掉!
之後刪除以下文件,如果存在的話
刪除以下文件
/bin/bprofr
/bin/sysdr
/bin/crondr
/bin/initdr
/usr/bin/bprofr
/usr/bin/sysdr
/usr/bin/crondr
/usr/bin/initdr
/tmp/dbused
/tmp/dbusex
/tmp/xms
/tmp/x86_64
/tmp/i686
/tmp/go
/tmp/x64b
/tmp/x32b
=========================一些命令記錄
1.CPU佔用最多的前10個進程
ps auxw|head -1;ps auxw|sort -rn -k3|head -10
2.內存消耗最多的前10個進程
ps auxw|head -1;ps auxw|sort -rn -k4|head -10
3.虛擬內存使用最多的前10個進程
ps auxw|head -1;ps auxw|sort -rn -k5|head -10
- %MEM 進程的內存佔用率
- MAJFL is the major page fault count,
- VSZ 進程所使用的虛存的大小
- RSS 進程使用的駐留集大小或者是實際內存的大小(RSS is the "resident set size" meaning physical memory used)
- TTY 與進程關聯的終端(tty)
linux 查看運行進程所在目錄
通過ps及top命令查看進程信息時,只能查到相對路徑,查不到的進程的詳細信息,如絕對路徑等。這時,我們需要通過以下的方法來查看進程的詳細信息:
Linux在啓動一個進程時,系統會在/proc下創建一個以PID命名的文件夾,在該文件夾下會有我們的進程的信息,其中包括一個名爲exe的文件即記錄了絕對路徑,通過ll或ls –l命令即可查看。
ll /proc/PIDcwd符號鏈接的是進程運行目錄;
exe符號連接就是執行程序的絕對路徑;
cmdline就是程序運行時輸入的命令行命令;
environ記錄了進程運行時的環境變量;
fd目錄下是進程打開或使用的文件的符號連接。