解决linux病毒导致带宽跑满的解决过程 ,可以参考参考
案例描述
早上接到IDC的电话,说我们的一个网段IP不停的向外发包,应该是被***了,具体哪个IP不知道,让我们检查一下。
按理分析及解决办法
首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面。
我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量。
这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,查看系统日志,也没有看到什么异常,但是系统的登录日志被清除了,
我赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。
这是个什么进程呢,我每次ps -ef都不一样,一直在变动,进程号一一直在变动中,我想看看进程打开了什么文件都行,一时无从下手,想到这里,我突然意识到这应该都是一些子进程,由一个主进程进行管理,所以看这些子进程是没有用的,即便我杀掉他们还会有新的生成,擒贼先擒王,我们去找一下主进程,我用top d1实时查看进程使用资源的情况,看看是不是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是我们寻找的***主进程。
我尝试杀掉这个进程,killall -9 ueksinzina,可是杀掉之后ps -ef查看还是有那些子进程,难道没有杀掉?再次top d1查看,发现有出现了一个其他的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是***了。
我们看看他到底是什么,”which obgqtvdunq”发现这个命令在/usr/bin下面,多次杀死之后又重新在/usr/bin目录下面生成,想到应该有什么程序在监听这个进程的状态也可能有什么定时任务,发现进程死掉在重新执行,我就按照目前的思路查看了一下/etc/crontab定时任务以及/etc/init.d启动脚本,均发现有问题。
可以看到里面有个定时任务gcc4.sh,这个不是我们设定的,查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,我们这边把有关的配置全部删掉,并且删掉/lib/libudev4.so。
在/etc/init.d/目录下面也发现了这个文件。
里面的内容是开机启动的信息,这个我们也给删掉。
以上两个是一个在开机启动的时候启动***,一个是***程序死掉之后启动***,但是目前我们杀掉***的时候***并没有死掉,而是立刻更换名字切换成另一个程序文件运行,所以我们直接杀死是没有任何用处的,我们目的就是要阻止新的程序文件生成,首先我们取消程序的执行权限并把程序文件成成的目录/usr/bin目录锁定。
chmod 000 /usr/bin/obgqtvdunq
chattr +i /usr/bin
然后我们杀掉进程”killall -9 obgqtvdunq”,然后我们在查看/etc/init.d/目录,看到他又生成了新的进程,并且目录变化到了/bin目录下面,和上面一样,取消执行权限并把/bin目录锁定,不让他在这里生成,杀掉然后查看他又生成了新的文件,这次他没有在环境变量目录里面,在/tmp里面,我们把/tmp目录也锁定,然后结束掉进程。
到此为止,没有新的***进程生成,原理上说是结束掉了***程序,后面的工作就是要清楚这些目录产生的文件,经过我寻找,首先清除/etc/init.d目录下面产生的***启动脚本,然后清楚/etc/rc#.d/目录下面的连接文件。
后来我查看/etc目录下面文件的修改时间,发现ssh目录下面也有一个新生成的文件,不知道是不是有问题的。
清理差不多之后我们就要清理刚才生成的几个文件了,一个一个目录清楚,比如”chattr -i /tmp”,然后删除***文件,以此类推删除/bin、/usr/bin目录下面的***,到此***清理完毕。
快速清理***流程
假设***的名字是nshbsjdy,如果top看不到,可以在/etc/init.d目录下面查看
1、首先锁定三个目录,不能让新***文件产生
chmod 000 /usr/bin/nshbsjdy
chattr +i /usr/bin
chattr +i /bin
chattr +i /tmp
2、删除定时任务及文件以及开机启动文件
删除定时任务及文件
rm -f /etc/init.d/nshbsjdy
rm -f /etc/rc#.d/***连接文件
3、杀掉***进程
killall -9 nshbsjdy
4、清理***进程
chattr -i /usr/bin
rm -f /usr/bin/nshbsjdy
处理完成之后再一次检查一下以上各目录,尤其是/etc目录下面最新修改的文件。
5、如果是rootkit***,可以用下面的软件进行检查
软件chkrootkit:
软件RKHunter:
安装都非常简单,我使用RKHunter简单检查了一下,没有发现什么重大问题,但是这也并不表示没有什么问题,因为我们的检测命令也是依赖一些系统的命令,如果系统的命令被感染那是检测不出来的,最好是系统的命令备份一份检查,再不行就备份数据重装喽。
转载于:https://blog.51cto.com/68686789/1883533
解决linux病毒导致带宽跑满的解决过程 ,可以参考参考相关推荐
- mysql导致带宽跑满_导致带宽跑满的原因分析
用户们可能都有遇到过带宽跑满的状况,而可能导致带宽跑满的因素有很多方面,今天小编就来跟大家分析一下,可能导致带宽跑满的一些原因. 1.遭遇网络攻击 如果主机或者站点遭遇CC攻击或者DDoS攻击等,会在 ...
- 真实记录疑似Linux病毒导致服务器 带宽跑满的解决过程
案例描述 由于最近我在重构之前的APP,需要和server端进行数据交互,发现有一个现象,那么就是隔1~2天总会发生获取数据超时的问题,而且必须要重启服务器才能解决.早在之前,我有留意到这个问题,但是 ...
- arp计算机病毒解决办法,如果电脑中了ARP病毒导致无法上网如何解决
ARP病毒是对利用arp协议的漏洞进行传播的一类病毒的总称,是一种入侵电脑的木马病毒.此类攻击的手段有两种:路由欺骗和网关欺骗.arp病毒主要是通过将网关地址解析成入侵的电脑MAC地址,导致用户无 ...
- linux java乱码怎么解决,linux中显示中文乱码如何解决
#第一步-排查 #第1个里程碑-看看linux系统的字符集 echo $LANG #第2个里程碑-远程连接工具 xshell/SecureCRT/putty 字符集 #第二步-修改 修复 修改字符集 ...
- 解决linux桌面环境崩溃?
解决linux桌面环境崩溃 问题描述 解决办法 问题描述 安装了ubuntu budgie 18.04. 自定义了几个panel. 导致经常卡住,最后卡住了,命令行reboot之后就进入不了桌面环境了 ...
- 解决linux mysql命令 bash: mysql: command not found 的方法
解决linux mysql命令 bash: mysql: command not found 的方法 参考文章: (1)解决linux mysql命令 bash: mysql: command not ...
- 解决Linux系统中python matplotlib画图的中文显示问题
解决Linux系统中python matplotlib画图的中文显示问题 参考文章: (1)解决Linux系统中python matplotlib画图的中文显示问题 (2)https://www.cn ...
- Win7下安装Ubuntu11.10(解决linux try(hd0,0):NTFS5:no ang0引导问题)
Win7下安装Ubuntu11.10(解决linux try(hd0,0):NTFS5:no ang0引导问题) 参考文章: (1)Win7下安装Ubuntu11.10(解决linux try(hd0 ...
- Linux/Centos服务器带宽异常跑满的排查解决办法
客服反馈服务器带宽满.之前每天10M就够了,现在20/30都不够,而且是升级到多少,就满多少,包括晚上3/4点都是一直满. 首先需要确定是哪一张网卡的带宽跑满 可以通过sar -n DEV 1 5命令 ...
最新文章
- 创业路上的这点事之 从无到有,从有到......
- python爬虫去哪儿网_大型爬虫案例:爬取去哪儿网
- 机器人庄园作文_十年后的家乡作文精选8篇
- Centos7中安装zookeeper3.7.0_找不到或无法加载主类 org.apache.zookeeper.server.quorum.QuorumPeer---zookeeper工作笔记003
- stm32F103驱动ADS1115程序-4通道可用-ALERT中断可用-ADC芯片,应该是最全了
- CentOS7安装Zabbix3.0
- 脱欧临近引民众忧心食品短缺 英“脱欧生存包”热卖
- C语言编译软件安装教程(Dev-C++版)
- macOS Big Sur安装Mojave动态桌面壁纸
- 数独游戏技巧从入门到精通_免费教学视频数独阶梯训练让孩子从入门到精通,数学思维直线上升!...
- n1怎么进入线刷模式_中国移动N1 M821线刷刷机教程_移动M821线刷包_救砖包
- PS2接口键盘、鼠标改成USB接口
- 基于PyQt的网站后台工具
- [ZT]企业建站常用中英文对照表
- 电视显示正在接入或无法接入认证服务器,长虹网络电视无法连接服务器,怎么回事?-长虹电视接入网络障碍...
- 《Effective C++》学习笔记(条款25:考虑写出一个不抛异常的swap函数)
- manifest java_JAR包中的MANIFEST.MF文件详解以及编写规范
- 【USACO1.2_1】★Milking Cows 挤牛奶
- linux命令之打包和解压
- linux 终端分屏命令vsp(转)