记录一次在Linux解决sysupdata挖矿病毒过程

记录一次在Linux解决sysupdata挖矿病毒过程

公司项目上线测试时发现有进程后台cpu占用过高,根据进程名称及端口号找到文件所在位置为/etc/sysupdata该文件,网上一查发现是病毒文件对应的还有其他四个文件:
updata.sh config.json networkservics sysguerd(该文件未添加i权限可以直接rm -rf 文件名 直接删除)

解决办法

1.先尝试解决
找到病毒文件了现在就是直接删除看看:

很明显这个文件不能删除有权限
网上的方法是使用chattr -i sysupdata 先解除权限再使用rm -f sysupdata 删除文件

然而却没用
使用lsattr命令查询文件权限看看

这个文件有i说明之前的解除命令没有生效所以根本删不掉
网上很多都是用上面的方法就能删除sysupdata文件现在删不掉就说明这个病毒可能是被优化过了
这个新版本病毒会把你/usr/bin/chattr文件修改导致你使用的chattr -i 文件名 这个命令失效了
现在在/usr/bin/使用lsattr命令查看chattr文件权限:

果不其然该文件也是被授权的
现在解除授权的命令失效了,文件又修改不了怎么办呢

2.我解决的办法
既然文件chattr无法解除权限或修改,那么就去下载一个新的文件(没有被病毒改过的文件)
下载之前先查看linux服务器的版本号使用:cat /etc/redhat-release命令查看
我的版本是CentOS Linux release 7.6.2003 (Core)

后面去到:http://rpmfind.net/linux/rpm2html/search.php?query=e2fsprogs根据自己版本号下载压缩包

我根据版本号下载的上面这个文件
然后先在usr目录下创建一个目录后将下载的压缩包放到新创的的文件夹下

后面使用命令解压压缩包
rpm2cpio e2fsprogs-1.42.9-17.el7.x86_64.rpm | cpio -div

在解压后的文件/usr/bin中找到chattr文件为了后面执行命令方便可以先把改文件复制到你新创建的文件夹下:

之后使用命令/usr/ss/chattr -i /usr/bin/chattr 解除原先被修改的chattr权限(注意使用自己的路径)
如果命令使用不了说明压缩包版本不对
改掉有问题的chattr文件的i权限后用新下载的文件将 /usr/bin/chattr覆盖掉,
然后就可以使用最开始的chattr -i 文件名 命令去etc文件夹解除文件权限再删除了