记一次Linux杀毒过程
亿网不久前发现机器流出流量突然增加,经查看在/tmp目录下存在可疑文件,并且存在.ssh进程,于是安装clamav全盘扫描,最终确定机器中毒。
病毒现象
1、在tmp目录下moni.lod、gates.lod、time、sess、java等可疑文件
2、存在.ssh、getty、zabbix_Agetntd等可疑进程
3、ps、netstart、ss程序执行文件被替换掉了
等等
查杀脚本
仅清除个别文件,病毒还会重新恢复,删除文件后需要立即重启系统。
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 | #!/bin/bash rm – rf / tmp / moni . lod rm – rf / tmp / gates . lod rm – rf / tmp / time rm – rf / tmp / sess rm – rf / tmp / java rm – rf / usr / bin / bsd – port / rm – rf / etc / init . d / DbSecuritySpt rm – rf / etc / rc . d / init . d / DbSecuritySpt rm – rf / etc / rc . d / rc1 . d / S97DbSecuritySpt rm – rf / etc / rc . d / rc2 . d / S97DbSecuritySpt rm – rf / etc / rc . d / rc3 . d / S97DbSecuritySpt rm – rf / etc / rc . d / rc4 . d / S97DbSecuritySpt rm – rf / etc / rc . d / rc5 . d / S97DbSecuritySpt rm – rf / etc / rc1 . d / S97DbSecuritySpt rm – rf / etc / rc2 . d / S97DbSecuritySpt rm – rf / etc / rc3 . d / S97DbSecuritySpt rm – rf / etc / rc4 . d / S97DbSecuritySpt rm – rf / etc / rc5 . d / S97DbSecuritySpt rm – rf / usr / bin / . sshd rm – rf / etc / rc . d / init . d / selinux rm – rf / etc / rc . d / rc1 . d / S99selinux rm – rf / etc / rc . d / rc2 . d / S99selinux rm – rf / etc / rc . d / rc3 . d / S99selinux rm – rf / etc / rc . d / rc4 . d / S99selinux rm – rf / etc / rc . d / rc5 . d / S99selinux rm – rf / etc / rc1 . d / S99selinux rm – rf / etc / rc2 . d / S99selinux rm – rf / etc / rc3 . d / S99selinux rm – rf / etc / rc4 . d / S99selinux rm – rf / etc / rc5 . d / S99selinux rm – rf / usr / sbin / ss rm – rf / bin / ps rm – rf / bin / netstat rm – rf / tmp / conf . n rm – rf / tmp / cmd . n ##把正常的执行文件替换中毒的文件 mv . / ss / usr / sbin / mv . / ps / bin / mv . / netstat / bin / reboot |
文章转载来自:trustauth.cn