十字符病毒,杀不死的小强:一次云处事器沦亡实录
|
方才删除了/usr/bin/apgffcztwi文件,可是又自动天生了新的文件,/usr/bin/fhmlrqtqvz,而且尚有一个文件/usr/bin/fgqnvqzzck已经被删除了,可是历程如故存在,谁人deleted就是文件的状态。而且新天生的文件,如故是10个字符。 看来是低估这个病毒措施了,继承往下穷究! 思量到会自动发抱病毒文件,感受应该是linux下的crontab完成的事变,那么是不是病毒在crontab内里做了手脚,去看看就知道了。 切换到体系的/var/log/cron目次下(此目次记录了linux下全部用户的打算使命信息,以crontab -u -e方法写入的打算使命城市在此目次下天生文件),没看到任何文件,看来不是用户级此外crontab在捣蛋,那么再看看体系级此外crontab,就是/etc/crontab文件,贴图如下:
看最后一行,发明白一个按时使命,此使命每三分钟执行一次,使命对应的是个kill.sh剧本,找到剧本就好办了,看看这个剧本的内容:
剧本很简朴,可是却是个重大发明,此剧本会自动重启网卡,然后执行一个cp操纵,将/lib/libkill.so文件复制一个/lib/libkill.so.6文件,然后执行这个文件。这个文件是个二进制的文件,无法查察内容,意料应该就是自动天生谁人十个字符文件的病原体。 这里看到的病原体名称是libkill.so,它的名称不是牢靠的,常见的尚有相同libudev.so、/lib/udev/udev等相同名称,可是浸染应该都是一样的。 到这里为止,思绪根基清晰了,或许理了一下思绪,这个×××执行的道理应该是这样的:libkill.so是全部历程的病原体,通过kill.sh剧本每隔3分钟自动检测一次,假如发明病毒措施不存在了,就从病原体复制一份儿到/lib/libkill.so.6,病毒副本/lib/libkill.so.6执行后,就会天生一个随机定名(10个字符)的措施,放到/usr/bin/、/boot,/etc/init.d等目次下。 同时还修改了自启动设置chkconfig –add xxx,修改自启动项/etc/rc.local等,让×××措施开机自动运行。 这就是为什么无法杀掉病毒历程的缘故起因。 至此,病毒运行的道理已经清楚了,下面的事变就是破除病毒措施。 四、破除病毒 破除病毒也是必要能力的,假如直接删除kill.sh文件,你会发明,这个文件又自动天生了,这就是病毒措施在起浸染。 那么怎么彻底破除呢,可通过下面方法实现: 通过top可能lsof呼吁可以获取谁人自动启动的×××历程的pid为17161,然后执行如下操纵:
留意,这里-STOP选项的寄义,不是封锁这个历程,而是遏制这个历程。历程遏制执行后,历程如故存在,这样就绕过了病毒历程就监测。紧接着,再来点硬货:
这样,先锁定crontab文件,不让任何历程写入数据。 下面就可以宁静的删除之前的那些病毒文件了。 先删除这个kill.sh文件,让他不再按期执行:
接着删除/usr/bin下和/etc/init.d下的全部可疑文件:
好比上图中,第1、2、4、5、6都是可疑文件,任意看一个文件:
可以看到,这个文件又指向了/root/xd文件,而这个xd文件必定也是病毒文件,必要删除。 最后,删除病原体文件:
最最后,别忘了,还要整理现场,封锁一向处于遏制状态的谁人pid为17161的病毒历程:
此刻就可以直接执行kill -9的操纵了,由于病原体已经被删除,按时使命文件也被锁定,按时执行的剧本也被删除,以是这个病毒再无回天之力了。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
