文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

linux主机中病毒处理过程是怎么样的

2023-06-05 23:02

关注

这期内容当中小编将会给大家带来有关linux主机中病毒处理过程是怎么样的,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

问题现象

服务器一直往外大量发包,占用流量和cpu,导致服务器响应很慢甚至无响应,怀疑是病毒引起

问题排查&解决过程

几乎所有病毒都会添加定时任务以及服务,所有从crontab入手,此时直接执行crontab -l结果可能是不准的,所以直接查看文件

查到两个可疑定时任务,由于cron.sh病毒之前已经清除,这里只记录kill.sh病毒处理过程

[root@zj-nms4 rc.d]# cat /etc/crontab 

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/

# run-parts

01 * * * * root run-parts /etc/cron.hourly

02 4 * * * root run-parts /etc/cron.daily

22 4 * * 0 root run-parts /etc/cron.weekly

42 4 1 * * root run-parts /etc/cron.monthly

*/3 * * * * root /etc/cron.hourly/cron.sh

*/3 * * * * root /etc/cron.hourly/kill.sh

vi /etc/crontab进去后将最后两行注释掉或者删除

kill.sh文件内容,指向/lib/libkill.so文件,该文件伪装成so文件,其实是可执行文件,用file libkill.so可查看

kill.sh其实是病毒原,但由于有进程守护,即使删除也会马上新建,所以首先要找到进程

利用top,发现可疑进程suwakbqdkn,pid为7480(ps命令这时已经无法准确的显示信息,只有top和lsof准确)

进程信息如下,如果直接kill便会随机又生产10个字符的进程和服务

7480 root      19   0 21268  276  184 S  1.9  0.0   0:00.07 suwakbqdkn 

ps查看进程,其实它已伪装成whoami命令,这时就会看到如果不用top而是ps查看的话,比如ps -ef |grep suwakbqdkn是找不到真正信息的

[root@zj-nms4 lib]# ps -ef |grep 7480

root      7480     1  0 16:40 ?        00:00:00 whoami         

root      8482 26912  0 16:45 pts/2    00:00:00 grep 7480

ls -l /proc/7480

确认可执行文件在/bin下,而非/usr/bin

这时利用lsof -R |grep "/bin"也可以查看到结果

将以下目录增加权限,防止病毒可以去更改或新增文件

chattr +i /lib

chattr +i /etc

chattr +i /bin

chattr +i /usr/bin

chattr +i /tmp

删除病毒原文件,以及所产生的所有文件

chattr -i /etc; rm -rf  /etc/cron.hourly/kill.sh ; chattr +i /etc

chattr -i /lib; rm -rf  /lib/libkill.so ; chattr +i /lib

chattr -i /bin; rm -rf  /bin/suwakbqdkn ; chattr +i /bin

chattr -i /tmp; rm -rf  /tmp/gates.lod /tmp/moni.lod ; chattr +i /tmp

找到非正常服务后并删除

chkconfig --list查看10个字符的非正常服务

关闭开机启动

chkconfig suwakbqdkn off

停止服务

service suwakbqdkn stop

删除服务

chkconfig --del suwakbqdkn

同时检查以下路径是否还suwakbqdkn服务

/etc/rc.d下所有级别新服务都删掉suwakbqdkn,并确认rc.local里没有新内容

[root@zj-nms4 cron.hourly]# cd /etc/rc.d/

[root@zj-nms4 rc.d]# ll

总计 112

drwxr-xr-x 2 root root  4096 03-04 13:57 init.d

-rwxr-xr-x 1 root root  2255 2009-07-04 rc

drwxr-xr-x 2 root root  4096 03-04 14:49 rc0.d

drwxr-xr-x 2 root root  4096 03-04 17:18 rc1.d

drwxr-xr-x 2 root root  4096 03-04 17:18 rc2.d

drwxr-xr-x 2 root root  4096 03-04 17:17 rc3.d

drwxr-xr-x 2 root root  4096 03-04 17:19 rc4.d

drwxr-xr-x 2 root root  4096 03-04 17:17 rc5.d

drwxr-xr-x 2 root root  4096 03-04 14:55 rc6.d

-rwxr-xr-x 1 root root   220 2009-07-04 rc.local

-rwxr-xr-x 1 root root 28574 2013-06-24 rc.sysinit

删除时执行一行语句

chattr -i /etc; rm -rf  suwakbqdkn ; chattr +i /etc

恢复以下目录权限,否则系统运行也会受影响

chattr -i /lib

chattr -i /etc

chattr -i /bin

chattr -i /usr/bin

chattr -i /tmp

处理病毒后,一定要讲服务器中所有用户的口令修改,而且要强口令(数字、字母、大写、特殊符号等),中病毒的原因很多都是弱口令被暴力破解。

cguvljrkz 32164     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32167     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32170     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32173     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32174     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

上述就是小编为大家分享的linux主机中病毒处理过程是怎么样的了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注编程网行业资讯频道。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-人工智能
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯