linux服务器中毒排查--基础篇

先是发现linux常见命令wget，curl不见了，以为是误操作没了，发现历史命令都没了，就很不正常，但是top也没见有啥高消耗进程，就没在意，，yum安装命令时竟然显示安装了，rpm -qa 截取查看命令也在，神奇啊

但是就yum下载时显示域名解析失败，修改resove文件权限拒绝！！我就懵逼，查看隐藏权限后发现有i和额，使用chattr去除时显示权限不够！！！这人牛皮了，把命令执行权限去掉了，chmod加上继续执行

继续yum安装curl，但是还是安装不了，显示有yum进程在运行，，就有点懵逼，ps看了下yum程序，发现有一个在安装unhied，很明显不是我的
正思考时突然弹出一条有邮件信息，然后不自觉的就看了下计划任务，有一条我没见过的
然后查看这个newinit.sh，里面可大有学问哈，也找到了我命令能查到不能使用的原因了

瞬间就感觉这人有点笨，你cp不好吗，非得mv

继续查看找到一ip：195.58.39.46
石锤被搞了，这就是真实ip没cdn

那接下来直接上才艺，这必定又一个自启功能和守护进程

理论上杀掉进程就ok

kill -9 ps -ef | grep newinit | grep -v grep |awk '{print $2}'

然后就是计划任务：

crontab -e进去删掉后再看竟然还在里面，卧c

又是宝贝，解除保护并清空

到此就危机解除，至于这个被上传的脚本有啥功能还需研究下，

-----------------------------------------------------------
后续：由于这病毒太顽固，改的东西太多，还是重装得了