记录_第一次解决挖矿程序入侵问题( 二 )


由内容可知,top命令被篡改桥接,原top文件已被命名为:top. 。并且,在top面板上隐藏了名为ddns、httpd的程序
3、恢复top面板
思路:恢复top面板的步骤是将原top文件恢复 。现在,原top文件名为top.,只要将现在的top文件删除,再将top.文件重命名为top即可 。
3.1、操作
(1)、在此之前,先做好文件的备份:
cp top top.bakcp top.lanigiro top.lanigiro.bak
(2)、将top命名为top.rm
mv top top.rm
(3)、系统提示:无权限修改 !
(4)、我们通过命令发现我们的top被加了锁,通过命令解锁,上述提到过!
chattr -i top
(5)、Top面板成功恢复!可以删除刚才的备份文件
mv top top.rmmv top.lanigiro top
上述步骤将top面板恢复,接下来可以查看病毒想在top面板上隐藏的内容:
4、top面板恢复后,我们再次查看top面板
展示出了2个隐藏的进程 .ddns
top进入面板输入C(展示运行命令)、输入P(展示按CPU排序),
发现在/var/tmp/./…目录下运行着名为ddns的隐藏可执行程序,占用CPU空间,并且启动用户居然为root!
接下来进入到上述目录:
cd /var/tmp/.crypto/...
考虑到该病毒隐藏文件惯用手法,使用ll -a命令查看,发现:
这就是挖矿程序的运行目录!此目录下,ddns的用户为lsb,先记着稍后再处理 。同时有ddns.log文件,看一下日志内容:
5、病毒清理
注意:以下操作涉及修改、删除文件记得备份!备份方式 cp重命名.bak
1、删除可疑用户lsb的登录key,进入目录:/home/lsb/.ssh,发现目录下的文件加了锁
2、则先通过命令解锁 。
chattr -ai authorized_keyschattr -ai authorized_keys2
3、然后删除用户lsb在home中的目录
rm -rf /home/lsb
4、删除执行目录:rm -rf /var/tmp/.
5、通过rm命令清理/etc/cron.d/zzh文件
6、杀进程
kill -9 .ddns进程的进程号(PID)kill -9 httped进程的进程号(PID)
注意:
该病毒入侵可由Redis端口扫描入侵,因此Redis密码切记设置复杂些,禁止应用无密码‘裸奔’ 。内存无法释放时,使用进行服务器重启 。
这下,我感觉应该解决了叭,这些个违法分子,属实可恶啊!