病毒处理
1、先立即修改掉密码。删除一些后门ssh key内容。
2、直接kill掉2743进程,后续观察服务,然后 清理计划任务: crontab -e
kill -9 2743
3、删除/root/ 目录下的.configrc文件夹
rm -rf /root/.configrc/
4、删除/tmp目录下 的那个计划任务文件
5、这玩意是一个perl脚本,因为没怎么用到perl 所以直接给perl改名 mv /usr/bin/perl /usr/bin/perl-bak,然后锁定目录chattr +i /usr/bin #看自己情况操作
————————
查杀参考资料:
1、查看应用连接
netstat -anltp|grep kswapd0
2、查看程序路径
ls -l /proc/3882/exe
3、定时器查看git用户
crontab -l -u git
4.清理定时任务
因为这个进程我杀掉之后没过多久又启动了,就知道应该有定时任务在重启
#查看定时任务
crontab -l
#查看目录
ls /root/.configrc
#删除目录文件
rm -rf /root/.configrc
#清理定时任务
corntab -e
#把和木马文件相关的定时任务全清理掉
5、临时目录查看
cd /tmp
ll -sa | grep git
1、直接kill掉3882进程,后续观察服务
kill -9 3882
2、删除git目录下的.configrc文件夹
rm -rf .configrc/
5.查看所有用户的定时任务
我之前清理的就是root用户的任务,但是过了几天发现kswapd0进程又自己启动起来了,排查root定时任务没有问题,然后继续排查别的用户的定时任务文件,发现了centos定时任务也有木马文件相关的目录
cd /var/spool/cron
ls
vi centos
如果发现了和之前root定时任务相似的木马目录,也清理下
rm -rf /home/centos/.configrc
6.杀掉kswapd0进程
最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启
#kill -9 kswapd0进程的PID
kill -9 13955
1
2
7.修改服务器密码
# 我用的root登录,所以使用passwd修改的是root的密码
passwd
# 如果别的用户也被黑了,记得也修改下密码
passwd centos
==========================================
crontab命令
语法
crontab [ -u user ] file
或
crontab [ -u user ] { -l | -r | -e }
参数说明:
-u user 是指设定指定 user 的时程表,这个前提是你必须要有其权限(比如说是 root)才能够指定他人的时程表。如果不使用 -u user 的话,就是表示设定自己的时程表。
-e : 执行文字编辑器来设定时程表,内定的文字编辑器是 VI,如果你想用别的文字编辑器,则请先设定 VISUAL 环境变数来指定使用那个文字编辑器(比如说 setenv VISUAL joe)
-r : 删除目前的时程表
-l : 列出目前的时程表
- 版权申明:此文如未标注转载均为本站原创,自由转载请表明出处《懂技术的物业人》。
- 本文网址:http://www.renjien.com/?post=15
- 上篇文章:45种撸进后台的方法
- 下篇文章:慈不掌兵,情不立事,义不理财,善不为官
