网站建设主页_互联网建设_小程序搭建_竹子建站_建站软件
当前位置:建站首页 > 新闻资讯 > 最新签约 >

Linux CentOS 过程CPU占有100%木马病毒杀毒全过程

发表日期:2021-02-22 12:05文章编辑:jianzhan浏览次数: 标签:    

在安裝CentOS-6.9-x86_64-minimal.iso以后由于设定客户登陆密码较为简易,而且沒有改动默认设置的22远程控制端口号,造成短时间间被扫描仪侵入,随后网络服务器瘋狂向外分包,因而被自身搞死过好几回他人的主机房一部分互联网,那时候我仍未留意,还觉得是获得的镜像系统源不太好,因此封禁向外分包就没事儿了,但是已过好长时间以后发了现网络服务器CPU一直100%可是并没有出现异常,但是TOP查询过程后见到一个过程十分怪异,是一个任意的10位英文字母过程,这就造成了我的留意,因此刚开始悠长瞎折腾之途...   最先我kill掉该过程以后它会全自动再度出現一个新的任意10位英文字母的过程,我明确是中毒了了,并且这一木马病毒有自身修复工作能力。   TOP实行后查询到一个出现异常过程

[.hourly]# top
top - 00:35:21 up 10 min, 1 user, load average: 2.68, 2.18, 1.19
Tasks: 484 total, 1 running, 483 sleeping, 0 stopped, 0 zombie
Cpu(s): 5.6%us, 3.1%sy, 0.0%ni, 90.8%id, 0.4%wa, 0.0%hi, 0.1%si, 0.0%st
Mem: 8026932k total, 1084296k used, 6942636k free, 80369k buffers
Swap: 8388604k total, 5k used, 8388604k free, 282692k cached
 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 
 2918 root 20 0 32664 580 200 S 136.3 0.0 10:37.95 LWnS6b6qrw 
 1743 root 20 0 66236 1200 484 S 5.5 0.0 0:40.08 sshd 
 74026 root 20 0 15288 1520 892 R 5.5 0.0 0:00.06 top 
 1644 root 16 -4 93132 872 608 S 3.7 0.0 0:18.06 auditd 
 1666 root 20 0 246m 8632 1116 S 1.8 0.1 0:16.20 rsyslogd 
这时候候我觉得到一个难题我还没实行过这一过程他如何会一直存有呢?这东西毫无疑问是启动起动,要不/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/下有起动脚本制作,要不有cron方案每日任务。 因此发了现crontab -l是一切正常的,赶到/etc/rc.d/init.d下达现了出现异常有10位英文字母的起动脚本制作,脚本制作內容以下:
[ ~]# cat /etc/rc.d/init.d/LWnS6b6qrw
#!/bin/sh
# chkconfig: 12345 90 90
# description: LWnS6b6qrw
### BEGIN INIT INFO
# Provides: LWnS6b6qrw
# Required-Start: 
# Required-Stop: 
# Default-Start: 1 2 3 4 5
# Default-Stop: 
# Short-Description: LWnS6b6qrw
### END INIT INFO
case $1 in
start)
 /usr/bin/LWnS6b6qrw
stop)
 /usr/bin/LWnS6b6qrw
  /etc/rc.d/rc1.d/ /etc/rc.d/rc2.d/ /etc/rc.d/rc3.d/ /etc/rc.d/rc4.d/ /etc/rc.d/rc5.d/ /etc/rc.d/rc6.d/ 这种文件目录下均存有木马病毒软连接
[.d]# cd /etc/rc.d/rc1.d/
[.d]# ll
total 0
lrwxrwxrwx. 1 root root 19 Nov 20 2016 K10saslauthd - ../init.d/saslauthd
lrwxrwxrwx. 1 root root 18 Nov 23 2016 K15svnserve - ../init.d/svnserve
lrwxrwxrwx. 1 root root 20 Nov 20 2016 K84multipathd - ../init.d/multipathd
lrwxrwxrwx. 1 root root 21 Nov 20 2016 K87restorecond - ../init.d/restorecond
lrwxrwxrwx. 1 root root 20 Nov 20 console - ../console
lrwxrwxrwx. 1 root root 15 Nov 20 2016 K89rdisc - ../init.d/rdisc
lrwxrwxrwx. 1 root root 22 Nov 20 2016 S02lvm2-monitor - ../init.d/lvm2-monitor
lrwxrwxrwx. 1 root root 16 Nov 20 2016 S07iscsid - ../init.d/iscsid
lrwxrwxrwx. 1 root root 19 Nov 20 2016 S08ip6tables - ../init.d/ip6tables
lrwxrwxrwx. 1 root root 18 Nov 20 2016 S08iptables - ../init.d/iptables
lrwxrwxrwx. 1 root root 17 Nov 20 work - ../work
lrwxrwxrwx. 1 root root 16 Nov 20 2016 S11auditd - ../init.d/auditd
lrwxrwxrwx. 1 root root 17 Nov 20 2016 S12rsyslog - ../init.d/rsyslog
lrwxrwxrwx. 1 root root 15 Nov 20 2016 S13iscsi - ../init.d/iscsi
lrwxrwxrwx. 1 root root 19 Nov 20 2016 S15mdmonitor - ../init.d/mdmonitor
lrwxrwxrwx. 1 root root 26 Nov 20 2016 S25blk-availability - ../init.d/blk-availability
lrwxrwxrwx. 1 root root 15 Nov 20 fs - ../fs
lrwxrwxrwx. 1 root root 19 Nov 20 2016 S26udev-post - ../init.d/udev-post
lrwxrwxrwx. 1 root root 19 Nov 23 2016 S50php56-fpm - ../init.d/php56-fpm
lrwxrwxrwx. 1 root root 14 Nov 20 2016 S55sshd - ../init.d/sshd
lrwxrwxrwx. 1 root root 17 Nov 22 2016 S64mariadb - ../init.d/mariadb
lrwxrwxrwx. 1 root root 17 Nov 20 2016 S80postfix - ../init.d/postfix
lrwxrwxrwx. 1 root root 15 Nov 23 2016 S85httpd - ../init.d/httpd
lrwxrwxrwx. 1 root root 15 Nov 20 2016 S90crond - ../init.d/crond
lrwxrwxrwx. 1 root root 22 Jun 12 00:25 S90LWnS6b6qrw - /etc/init.d/LWnS6b6qrw
lrwxrwxrwx. 1 root root 11 Nov 20 2016 S99local - ../rc.local
  同时想起方案每日任务是不是会被串改,因此查询:
[ ~]# cat /etc/crontab 
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * mand to be executed
*/3 * * * * root /etc/cron.hourly/gcc.sh
果真被串改,最终一句是被提升上来的   再追踪/etc/cron.hourly/gcc.sh后发觉
[ ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat //dev|grep :|awk -F: { print $1 do ifconfig $i up done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
  来到这儿大家能够确定几个地区不太好 /lib/libudev.so
/etc/cron.hourly/gcc.sh
/etc/crontab
/etc/rc.d/init.d/
/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/   最终解决方式: 检索并删掉全部病毒感染 LWnS6b6qrw (你的系统软件中将会名字不一样请细心核查) 删除全部起动文件目录下的 S90LWnS6b6qrw 病毒感染软连接(留意:假如你的网络服务器是别的病毒感染名字,请细心核查)。 检索并删掉 libudev.so 和 libudev.so.6 删掉方案每日任务过剩的病毒感染编码 */3 * * * * root /etc/cron.hourly/gcc.sh 删掉病毒感染配备文档 root /etc/cron.hourly/gcc.sh
  重新启动后发觉过程没出现异常了
假如你仍然没法处理,请联络  有偿服务协助你处理  
有关浚网高新科技

浚网主营业务业务流程:成都市企业网站建设,成都市网站建设,是一家技术专业的成都市互联网企业;浚网精英团队包含手机软件、运用、网站建设,互联网营销推广,设计方案等权威专家,为您强烈推荐最好用的计划方案

浚网联平台系方法

四川成都市高新科技区九兴大路16号1幢

+86 360
+86

/

webmanager


方案策划:根据互连网,,,知名品牌行销对策的订制与实行,知名品牌基本建设系统软件服务,公司品牌形象发掘、整理、包裝、主要表现与播发。 设计方案:知名品牌视觉效果设计方案logo,VI,宣传画册,輔助公司发展战略总体目标的公司官方网站,有知名品牌沟通交流工作能力的知名品牌官方网站,有营销推广力的移动智能终端网站,环节对于性的电子商务服务平台。 经营:浚网,,,成都市企业网站建设出示本年度追踪服务,按时意见反馈实际效果表格服务,数据信息剖析服务,內容基本建设服务,互联网营销推广服务。
以互联网服务、知名品牌设计方案、融合散播为关键业务流程,潜心艺术创意设计方案和互联网营销推广,探寻并完成商业服务使用价值利润最大化,成都市企业网站建设为全部谋取长久发展趋势的公司组织奉献全力以赴 为您创建有使用价值的网站... 小赵 - 新项目主管
网站的顾客感受与网站的方案策划密切相关,一个完善的网站规划对基本建设营销推广型网站来讲相当关键。公司要在猛烈的市场竞争中获得盈利,务必凭着强劲的互连网服务平台为基本,有效应用互连网扩展销售市场,这些方面成都市企业网站建设能帮上您... 小陈 - 营销推广主管
相关新闻

重庆网络营销过程当中所产生的分析

互联网营销推广的造成,是科学研究技术性的发展趋势、消費者使用价值观的转...

日期:2021-01-12 浏览次数:120

CentOS 7安裝wordpress

继上1篇的在Vultr下CentOS1键安裝LAMP后,进1步解读怎样在CentOS中安裝wordpress,构建自身的blog或网...

日期:2020-12-09 浏览次数:135

手机上商城系统网站建设的全过程中应留意甚么

移动互联网网的快速发展趋势,带去了pc端的大部分分离量,那麼,大多数数公司也在慢慢考虑...

日期:2020-10-25 浏览次数:79

一般公司网站建造流程过程介绍

专业的网站建造公司都都有一个网站建造流程,并且这个流程是通过多年的科学化的规范堆集下...

日期:2020-06-19 浏览次数:99