Linux 10字串命令病毒的處理記錄

2021-09-20 18:20:11 字數 1356 閱讀 3454

剛上線的測試伺服器不停的向外發包,且cpu持續100%,遠端登入後檢視發現有一長度為10的隨機字串程序,kill掉,會重新生成另外長度為10的字串程序。刪除檔案也會重複生成,非常痛苦。查閱crond相關日誌,發現實際執行的內容為/lib/libudev.so ,以此為關鍵字進行查詢,找到如下內容:

1,網路流量暴增,使用 top 觀察有至少乙個 10 個隨機字母組成的程式執行,占用大量 cpu 使用率。刪除這些程式,馬上又產生新的程式。

2,檢查 /etc/crontab 每三分鐘執行 gcc.sh

*/3 * * * * root /etc/cron.hourly/gcc.sh
3,檢視病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。

cat /etc/cron.hourly/gcc.sh

#!/bin/sh

path=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/x11r6/bin

for i in `cat /proc/net/dev|grep :|awk -f: `; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

4,刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 無法變動,否則馬上又會產生。

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
5,使用 top 檢視病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程式,否則會再產生,而是停止其運作。

[root@deyu ~]# kill -stop 16621
6,刪除 /etc/init.d 內的檔案。

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f
7,刪除 /usr/bin 內的檔案。

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa
8,檢視 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。

[root@deyu ~]# ls -lt /usr/bin | head
9,現在殺掉病毒程式,就不會再產生。

[root@deyu ~]# pkill mtyxkeaofa
10,刪除病毒本體。

[root@deyu ~]# rm -f /lib/libudev.so
到此,病毒刪除完成。

Linux 10字串命令病毒的處理記錄

剛上線的測試伺服器不停的向外發包,且cpu持續100 遠端登入後檢視發現有一長度為10的隨機字串程序,kill掉,會重新生成另外長度為10的字串程序。刪除檔案也會重複生成,非常痛苦。查閱crond相關日誌,發現實際執行的內容為 lib libudev.so 以此為關鍵字進行查詢,找到如下內容 1,網...

Linux 10字串命令病毒的處理記錄

剛上線的測試伺服器不停的向外發包,且cpu持續100 遠端登入後檢視發現有一長度為10的隨機字串程序,kill掉,會重新生成另外長度為10的字串程序。刪除檔案也會重複生成,非常痛苦。查閱crond相關日誌,發現實際執行的內容為 lib libudev.so 以此為關鍵字進行查詢,找到如下內容 1,網...

10)字串知識

字元 0 ascii值是0 但是0的ascii值是48,所以 strlen遇到 0 就停止 但是 sizeof是測得陣列的長度,包含 0 和0 滑油輸出時 s 也是,遇到 0 就停止輸出了 strcpy 是會把字串的那個 0複製過去的 比如 main 列印出 x y z 1 2 3 4 9 可以看出...