- 使用top查看进程的运行情况,发现机器的负载较高,进程数也非常多。
- 看到其中一个进程的cpu比较高,而且进程有些奇怪
看源文件发现是/ect/system文件正在运行服务,但是这个高占用率的CPU完全不对劲,而且在/ect目录下不应该有这个文件,同时文件创建日期在48h内,与其他系统文件明显不同,初步判断是挖矿病毒。
其实,在上个月有出现了相同的文件,但是当时没有多想,只是杀掉了原有进程。随后删掉了对应文件,没想到病毒卷土重来。
- 直接对病毒进行删除是行不通的,因为system文件正在运行,而且运行的用户是root,需要先kill掉对应的进程,随后进行删除
使用ps -ef |grep system 查看对应的进程
当我尝试kill掉挖矿进程和对应的父进程之后,发现马上这两个文件就重启了!
可能是病毒中包含自动重启的方式。
- 考虑到无法通过kill -9 pid 的方式强行杀死病毒对应的进程,我们考虑先査看linux中病毒的载体service,尝试关闭对应的service看是否可以这样kill 掉病毒。
systemctl status 19288经过查看后,发现service是一个系统service,然后使用谷歌大法后,发现停止不会影响系统运行,于是停止了该服务。
这时再使用top命令可以发现,病毒对应的进程已经没有了。直接成功了一半!
- 由于是测试环境,通过直接尝试运行 sudo rm /etc/system ,但是发现无法对文件进行删除, 没想到root用户都显示没权限。感觉应该是属性被root进行修改了,无法直接被删除和修改。
- 使用lsattr命令和chattr命令发现这两个命令都无法运行, 都显示乱码以及命令参数提示,感觉是病毒对这两个命令改了一些东西。
- 遇到这种情况也只能重装相关命令了,不再使用被修改的命令了。
wget https://raw.githubusercontent.com/posborne/linux-programming-interface-exercises/master/15-file-attributes/chattr.cgcc chattr.c -o fkyou./fkyou -i /usr/bin/chattrrm /usr/bin/chattrcp fkyou /usr/bin/chattr
命令安装之后再次执行删除对应文件
sudo chattr -ai /etc/systemsudo rm /etc/system
原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/80514.html
