这期内容当中小编将会给大家带来有关linux主机中病毒处理过程是怎么样的,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
问题现象
服务器一直往外大量发包,占用流量和cpu,导致服务器响应很慢甚至无响应,怀疑是病毒引起
问题排查&解决过程
几乎所有病毒都会添加定时任务以及服务,所有从crontab入手,此时直接执行crontab -l结果可能是不准的,所以直接查看文件
查到两个可疑定时任务,由于cron.sh病毒之前已经清除,这里只记录kill.sh病毒处理过程
[root@zj-nms4 rc.d]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
*/3 * * * * root /etc/cron.hourly/cron.sh
*/3 * * * * root /etc/cron.hourly/kill.sh
vi /etc/crontab进去后将最后两行注释掉或者删除
kill.sh文件内容,指向/lib/libkill.so文件,该文件伪装成so文件,其实是可执行文件,用file libkill.so可查看
kill.sh其实是病毒原,但由于有进程守护,即使删除也会马上新建,所以首先要找到进程
利用top,发现可疑进程suwakbqdkn,pid为7480(ps命令这时已经无法准确的显示信息,只有top和lsof准确)
进程信息如下,如果直接kill便会随机又生产10个字符的进程和服务
7480 root 19 0 21268 276 184 S 1.9 0.0 0:00.07 suwakbqdkn
ps查看进程,其实它已伪装成whoami命令,这时就会看到如果不用top而是ps查看的话,比如ps -ef |grep suwakbqdkn是找不到真正信息的
[root@zj-nms4 lib]# ps -ef |grep 7480
root 7480 1 0 16:40 ? 00:00:00 whoami
root 8482 26912 0 16:45 pts/2 00:00:00 grep 7480
ls -l /proc/7480
确认可执行文件在/bin下,而非/usr/bin
这时利用lsof -R |grep "/bin"也可以查看到结果
将以下目录增加权限,防止病毒可以去更改或新增文件
chattr +i /lib
chattr +i /etc
chattr +i /bin
chattr +i /usr/bin
chattr +i /tmp
删除病毒原文件,以及所产生的所有文件
chattr -i /etc; rm -rf /etc/cron.hourly/kill.sh ; chattr +i /etc
chattr -i /lib; rm -rf /lib/libkill.so ; chattr +i /lib
chattr -i /bin; rm -rf /bin/suwakbqdkn ; chattr +i /bin
chattr -i /tmp; rm -rf /tmp/gates.lod /tmp/moni.lod ; chattr +i /tmp
找到非正常服务后并删除
chkconfig –list查看10个字符的非正常服务
关闭开机启动
chkconfig suwakbqdkn off
停止服务
service suwakbqdkn stop
删除服务
chkconfig –del suwakbqdkn
同时检查以下路径是否还suwakbqdkn服务
/etc/rc.d下所有级别新服务都删掉suwakbqdkn,并确认rc.local里没有新内容
[root@zj-nms4 cron.hourly]# cd /etc/rc.d/
[root@zj-nms4 rc.d]# ll
总计 112
drwxr-xr-x 2 root root 4096 03-04 13:57 init.d
-rwxr-xr-x 1 root root 2255 2009-07-04 rc
drwxr-xr-x 2 root root 4096 03-04 14:49 rc0.d
drwxr-xr-x 2 root root 4096 03-04 17:18 rc1.d
drwxr-xr-x 2 root root 4096 03-04 17:18 rc2.d
drwxr-xr-x 2 root root 4096 03-04 17:17 rc3.d
drwxr-xr-x 2 root root 4096 03-04 17:19 rc4.d
drwxr-xr-x 2 root root 4096 03-04 17:17 rc5.d
drwxr-xr-x 2 root root 4096 03-04 14:55 rc6.d
-rwxr-xr-x 1 root root 220 2009-07-04 rc.local
-rwxr-xr-x 1 root root 28574 2013-06-24 rc.sysinit
删除时执行一行语句
chattr -i /etc; rm -rf suwakbqdkn ; chattr +i /etc
恢复以下目录权限,否则系统运行也会受影响
chattr -i /lib
chattr -i /etc
chattr -i /bin
chattr -i /usr/bin
chattr -i /tmp
处理病毒后,一定要讲服务器中所有用户的口令修改,而且要强口令(数字、字母、大写、特殊符号等),中病毒的原因很多都是弱口令被暴力破解。
cguvljrkz 32164 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32167 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32170 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32173 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
cguvljrkz 32174 1 root txt REG 8,7 619123 2683872 /usr/bin/cguvljrkzq (deleted)
上述就是小编为大家分享的linux主机中病毒处理过程是怎么样的了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注亿速云行业资讯频道。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/199310.html