记一次Linux Centos7病毒清理
2024-08-28 02:17:37
记一次在工作中测试环境下中病毒的处理解决办法,都说linux系统非常安全,但是很多人百年一遇的病毒被我遇上了,公司三台测试环境服务器中招。
最开始系统突然变得很卡,使用top命令查看资源占用情况,发现有一个nginx进程占用非常高的cpu,但是!这机器上根本没有装nginx。。。于是开始一系列排查。
想要使用kill命令结束进程结果没有几秒钟进程又自动启动了
使用ps -ef | grep 31990 查看进程发现没有这个名叫nginx的进程,初步判断是木马进行了伪装,接下来使用lsof -p 31990进行排查
发现本机一直与一个陌生ip进行通信,查了一下这个ip所在地为阿姆斯特丹。。。于是使用iptables防火墙了阻止了这个ip的访问,然后再kill掉进程发现伪装成nginx的木马程序不会再自启
想到之前结束掉木马进程又自启的情况,病毒肯定配置了计划任务和开机自启,使用crontab -l查看并没有发现定时任务,cat /etc/crontab也同样没有,但是在/etc/cron.d/下面发现有病毒脚本。(涂抹部分是某台同样中毒机器的ip),注意:下图中脚本里的病毒程序就存在于/bin/名叫crondr,终于发现了源头,果断删除
另外,在根下全盘搜索病毒脚本,在下图这些目录中都发现了存在的病毒脚本,果断统统删除
世界终于恢复了平静。。。
最新文章
- highchart 添加新的series
- ArcGIS Engine中数据的加载 (转)
- poj1985 Cow Marathon (求树的直径)
- monkey测试
- php 本周开始时间和结束时间;本月开始时间结束时间;上月开始时间结束时间
- 图说苹果工作站-MAC PRO
- redux学习笔记
- 织梦dedecms|文章页通用标签
- JavaScript(一)---- 概述
- 构建Docker平台【第四篇】创建服务及扩缩容等操作
- 如何使用 ui-router-extras
- XWPFDocument创建和读取Office Word文档基础篇(一)
- 微信小程序部署问题总结
- PVLAN 简介
- APScheduler——定时任务框架
- PTA——黑洞数
- [转][c++][跨平台]c++跨平台开发小结
- flash builder的配色方案
- How to check WWN and Multipathing on Windows Server
- 洛谷P3389 高斯消元 / 高斯消元+线性基学习笔记