病毒入侵解决方案

情景

最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的.

排查

既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.

这个时候就说明木马已经入侵了,不是即时入侵的.

于是自然的使用top,ps,crontab等方案去排查

top

从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.
ps -aux > /usr/local/ps;vim /usr/local/ps

从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸

所以我们只需要杀死这个进程就可以了,于是使用kill命令杀了这两个进程重启服务器

...又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了...

都到这儿了,我竟然没有想着去删除这个文件只想着杀进程,我也是服了我自己了

气死我了......
crontab -l

呵,果然有定时器

无论是从定时器还是从ps都可以直观的看到是/etc/newinit.sh文件自动运行导致的,我没有记录这个文件的内容直接删除了,当然废了大劲.

解决

既然定时器中有不明定时任务那我们肯定是要删除这个定时任务的,也就是使用crontab -e去修改定时任务

...敢不敢信,这个时候我使用的root用户竟然没有修改权限

想着先删除newinit.sh文件再改定时器吧,使用rm -rf /etc/newinit.sh去删除了个文件

...也显示没权限删除

这就触及到知识盲区了,真不会啊,通过百度发现文件有隐藏权限,于是抱着试试的态度使用lsattr /etc/newinit.sh去查看...果然隐藏权限中多了ai权限

a不可删除文件内容
i不可删除文件

没截图,你们遇到这种问题的时候一定知道我在说什么,肯定不只是这个文件有ai权限,木马修改了我很多文件,其他的有截图的

绝不绝,绝绝子啊...

那么我们要做的就是把这个文件的权限修改回去了,lsattr查看权限对应的修改权限的命令是chattr命令,这个命令在/usr/bin文件夹里面

于是去使用chattr -ai /etc/newinit.sh命令去修改文件的权限

你没有猜错,修改失败,没有权限...这...

没办法去看一下chattr命令的权限(根据博主blog.csdn.net/handsomezls…

[root@daniel bin]# ls -lh chattr;lsattr chattr
-rw-r--r--. chattr
----i------------ chattr
复制代码

没办法复制了这个命令,还好cp没给我修改权限,不然废了

[root@daniel bin]# cp chattr chattr.new
[root@daniel bin]# chmod u+x chattr.new
[root@daniel bin]# chattr.new -i chattr
[root@daniel bin]# rm -rf chattr.new
[root@daniel bin]# chmod u+x chattr
复制代码

这个时候chattr命令就可以正常使用了

于是使用chattr -ai /etc/newinit.sh删除了文件,已经使用kill命令杀死了对应的进程,这个时候CPU占用还是100%,因为任务已经执行了,现在正在入侵别人的服务器,先不用管

下面就是清空定时任务了

刚刚说了crontab -e没有权限,于是使用chattr -ai /usr/bin/crontab修改其权限

为了防止有其他指令仍然有这种情况在/usr/bin指令文件夹下使用lsattr命令查看,果然cron以及cron.d等有关定时器的指令都被修改了,于是使用chattr -ai /etc/bin/cron.d还原了cron.d指令的权限

同样的方法还原了/etc下面的指令,包括但不限于cron指令

这个时候crontab命令就可以正常使用了,又出现了其他情况/var/spool/cron没有权限,这是cron指令的存储文件,通过lsattr指令去查询这个文件夹的权限,发现也是被设置了ai隐藏属性(包括其下面的root文件夹),于是使用chattr -ai /var/spool/cron;chattr -ai /var/spool/cron/root修改了隐藏属性

这个时候crontab -e才能正常执行,删除定时任务即可

到此也才真正的杀死病毒,当前CPU100%的问题只需重启服务器即可.

核心

这个木马恶心的地方在于修改了文件和指令的权限,让你无所适从,只要理解了这个木马的执行原理还是很简单的.

可惜了不会木马防范,再次求教.

一次Linux中的木马病毒解决经历相关推荐

中了ARP病毒解决方法与相关工具
中了ARP病毒解决方法与相关工具摘自希赛网http://blog.csai.cn/user1/15929/archives/2006/7712.html 最近网吧与企业流行着ARP病毒,导致了网络 ...
linux oracle查询乱码问题,linux中oracle中文乱码解决方法
乱码问题的根源是字符集的修改,下面我们来看一下linux中oracle中文乱码解决方法. 查看客户端的语言编码设置: 配置文件中的配置: cat ~/.bash_profile 注意修改配置信息:ex ...
服务器（Linux）挖矿木马病毒（kswapd0进程使cpu爆满）
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满) 前言:由于本人的阿里云服务器遭受攻击,被挖矿,导致CUP爆满,同时受到阿里云官方的邮箱.短信以及电话通知(监管部门是不允许服务器被直 ...
Kali Linux中无法使用pip的解决方法
1 无法识别pip指令 pip是Kali Linux中用来安装和管理Python包的工具,可以把pip看成是Python软件安装的工具.有时,在Kali Linux中无法使用pip工具,显示" ...
linux 中了挖矿病毒
文章目录中毒特征磁盘cpu 跑满 100% 如何处理反复发作中毒特征磁盘cpu 跑满 100% 如何处理电脑中了挖矿病毒 ps -aux | grep kinsing root 19447 0 ...
linux中安装百度输入法-----解决QT中使用百度输入法问题
下载百度输入法Ubuntu链接 1.解压下载后的压缩包 2.按照里面的.docx文件操作设置 3.重启系统 sudo reboot 安装成功如图所示如果想在QT中使用百度输入法,我们会发现并不可以, ...
Linux中ip经常改变解决(本人亲测，有效)
使用ifconfig命令查看Linux的网卡信息, 可以看到是ens33网卡在Linux中输入命令, 编辑 ens33 网卡的网络配置文件 vim /etc/sysconfig/network- ...
如何干净地清除电脑中的木马病毒
本文只是针对常见的已知病毒的一些通用的基本的清除方法,并不专门讨论针对某种或者某类病毒的清除方法,如果按照这些清除方法仍不能干净清除病毒,请参见相关的文章,或另文提出,谢谢! 一.使用正确的杀毒方法 ...
在Linux中利用backtrace信息解决程序崩溃问题
转自:https://blog.csdn.net/jxgz_leo/article/details/53458366 一.导读在程序调试过程中如果遇到程序崩溃死机的情况下我们通常多是通过出问题时的栈 ...

一次Linux中的木马病毒解决经历

病毒入侵解决方案

情景

排查

解决

核心

一次Linux中的木马病毒解决经历相关推荐

最新文章

热门文章