色婷五一,精品亚洲欧美一区二区三区日产 ,精选国产AV剧情,无码丰满少妇2在线观看

18600329666

咨詢技術(shù)專家

掃一掃
與技術(shù)專家在線溝通

Menu
Linux系統(tǒng)下病毒清除方法之隨機(jī)10字符病毒清除

來源:未知 時間:2018-11-25 瀏覽次數(shù):123次

Linux系統(tǒng)下病毒清除方法之隨機(jī)10字符病毒清除,隨機(jī)10字符病毒的特征是在/usr/bin下面自動生成多個進(jìn)程文件,文件名以10個英文字母隨機(jī)命名,該病毒主要用于服務(wù)器向外發(fā)包
服務(wù)器不停向外發(fā)包,網(wǎng)絡(luò)流量跑高且CPU使用率間斷性達(dá)到2000%。通過xshell工具遠(yuǎn)程登錄后發(fā)現(xiàn)有隨機(jī)字符串進(jìn)程,kill掉后會重新生成新的字符串進(jìn)程。刪除源文件也會重新生成,主進(jìn)程不變,總是產(chǎn)生幾個輔助進(jìn)程,這說明主進(jìn)程會快速產(chǎn)生幾個子進(jìn)程,然后這些進(jìn)程之間相互檢測,一旦檢測到病毒主體被刪除或更改,就會再產(chǎn)生一個新的字符串進(jìn)程。
隨機(jī)10字符病毒
一、病毒原理剖析
1、使用ps -ef | grep '字符串'命令是無法檢測到,查閱crond相關(guān)日志,發(fā)現(xiàn)實(shí)際執(zhí)行的內(nèi)容為/lib/libudev.so。使用crontab命令檢測
[root@k8s-node-2 ~]# crontab -l no crontab for root [root@k8s-node-2 ~]# cat /etc/crontab SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin MAILTO=root # For details see man 4 crontabs # Example of job definition: # .---------------- minute (0 - 59) # |  .------------- hour (0 - 23) # |  |  .---------- day of month (1 - 31) # |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ... # |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat # |  |  |  |  | # *  *  *  *  * user-name  command to be executed */3 * * * * root /etc/cron.hourly/gcc.sh
 
系統(tǒng)級任務(wù)存放在/etc/crontab下,一般不會去編輯,用戶級任務(wù)crontab -e/var/spool/cron/username里創(chuàng)建一個crontab文件
[root@k8s-node-2 ~]# cat /etc/cron.hourly/gcc.sh #!/bin/sh  for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin cp "/lib/libkill.so" "/lib/libkill.so.6" "/lib/libkill.so.6"
分析gcc.sh文件,基本能看出它的原理: 
/lib/libkill.so是病原體,通過cron.sh每隔3min自動檢測一次,如果木馬程序不存在,就從病原體復(fù)制一份兒到/lib/libkill.so.6 
副本/lib/libkill.so.6執(zhí)行,生成一個隨機(jī)命名的程序,丟到/usr/bin//boot等目錄 
同時修改了自啟動配置chkconfig –add xxx,同時修改自啟動項(xiàng)/etc/rc.local
二、解決辦法
1)使用top命令查看病毒pid為18722,不要直接kill掉程序,否則會再產(chǎn)生,而是停止其運(yùn)行
kill -stop 18722
2)刪除相關(guān)病毒文件
rm -rf /etc/cron.hourly/gcc.sh find /etc -name '*ronlhpaqim*' | xargs rm -f rm -f /usr/bin/ronlhpaqim
3)查看/usr/bin最近變動的記錄,如果是病毒一并刪除,其他可疑的目錄也一樣
ls -lt /usr/bin | head
4)刪除病毒本體
rm -f /lib/libkill.so.6 /lib/libudev.so
三、總結(jié) 
1)/proc里面的東西是可以更改的;
2)留意/etc/crontab/etc/cron.*下的幾個任務(wù)目錄 
3)木馬程序的出現(xiàn)且是root賬號下,應(yīng)該是redis漏洞或etcd存儲倉庫引起
四、寫在最后
隨機(jī)10字符病毒清除不是重點(diǎn)多點(diǎn)是修復(fù)系統(tǒng)漏洞,是腳本木馬不能再被上傳到系統(tǒng),主要修復(fù)思路如下
1.加強(qiáng)SSH防御,如非必要關(guān)閉SSH端口,非要開啟必須修改默認(rèn)22端口,并限制密碼嘗試登陸次數(shù),詳見centos7優(yōu)化ssh客戶端登錄安全的配置
2.關(guān)閉不必要的端口,開啟修通防火墻,將常用端口80,3306等加入防火墻例外
3.加固linux操作系統(tǒng),使用linux安全軟件,這里推薦ClamAV,具體安裝詳見linux安全軟件ClamAV編譯安裝和使用