firemail
标题: 清除Linux挖矿病毒的经历(sysupdate, networkservice进程) [打印本页]
作者: Qter 时间: 2020-6-30 15:50
标题: 清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
本帖最后由 Qter 于 2020-6-30 18:06 编辑
sysupdate 系统更新??
networkservice 网络服务???
上阿里云管理控制台看看CPU占用率,占用率直接100%,再看看CPU以及内存的记录,已经被占领两三天了,阿里云也没有告警。
清除的过程使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号}/exe
- [root@VM_0_15_centos cron]# ls -l /proc/2835/exe
- lrwxrwxrwx 1 nobody nobody 0 Jun 30 12:31 /proc/2835/exe -> /tmp/sysupdate
- [root@VM_0_15_centos cron]# ls -l /proc/28127/exe
- lrwxrwxrwx 1 nobody nobody 0 Jun 30 15:31 /proc/28127/exe -> /tmp/networkservice
- [root@VM_0_15_centos cron]# ls -l /proc/28137/exe
- lrwxrwxrwx 1 nobody nobody 0 Jun 30 15:31 /proc/28137/exe -> /tmp/networkservice
到tmp下,除了sysupdate、networkservice 同时还有sysguard、update.sh、config.json,找到了源头update.sh
删除定时任务
rm /var/spool/cron/root 或crontab -r
杀掉进程 删除文件
首先杀进程,kill -9 {进程号},然后删除文件
直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常删除。
chattr -i sysupdate
rm -rf sysupdate
同理删除networkservice、sysguard、update.sh、config.json。
/root/.ssh/authorized_keys 删除或修复
———————————————
rm -fr authorized_keys
rm: cannot remove ‘authorized_keys’: Operation not permitted
chattr -i authorized_keys
-bash: chattr: command not found
yum -y install e2fsprogs
安装不上
复制一个过去
scp /drives/c/chattr root@192.168.1.2:/usr/bin/chattr
scp /drives/c/lsattr root@192.168.1.2:/usr/bin/lsattr
| 欢迎光临 firemail (http://www.firemail.wang:8088/) |
Powered by Discuz! X3 |
