linux服务器中毒排查--基础篇

先是发现linux常见命令wget,curl不见了,以为是误操作没了,发现历史命令都没了,就很不正常,但是top也没见有啥高消耗进程,就没在意,,yum安装命令时竟然显示安装了,rpm -qa 截取查看命令也在,神奇啊

但是就yum下载时显示域名解析失败,修改resove文件权限拒绝!!我就懵逼,查看隐藏权限后发现有i和额,使用chattr去除时显示权限不够!!!这人牛皮了,把命令执行权限去掉了,chmod加上继续执行
linux服务器中毒排查--基础篇_第1张图片
继续yum安装curl,但是还是安装不了,显示有yum进程在运行,,就有点懵逼,ps看了下yum程序,发现有一个在安装unhied,很明显不是我的
正思考时突然弹出一条有邮件信息,然后不自觉的就看了下计划任务,有一条我没见过的
linux服务器中毒排查--基础篇_第2张图片然后查看这个newinit.sh,里面可大有学问哈,也找到了我命令能查到不能使用的原因了
linux服务器中毒排查--基础篇_第3张图片
瞬间就感觉这人有点笨,你cp不好吗,非得mv

linux服务器中毒排查--基础篇_第4张图片继续查看找到一ip:195.58.39.46
linux服务器中毒排查--基础篇_第5张图片石锤被搞了,这就是真实ip没cdn
linux服务器中毒排查--基础篇_第6张图片linux服务器中毒排查--基础篇_第7张图片
那接下来直接上才艺,这必定又一个自启功能和守护进程

在这里插入图片描述理论上杀掉进程就ok

kill -9 ps -ef | grep newinit | grep -v grep |awk '{print $2}'

然后就是计划任务:

crontab -e进去删掉后再看竟然还在里面,卧c

linux服务器中毒排查--基础篇_第8张图片又是宝贝,解除保护并清空
linux服务器中毒排查--基础篇_第9张图片

在这里插入图片描述到此就危机解除,至于这个被上传的脚本有啥功能还需研究下,

linux服务器中毒排查--基础篇_第10张图片-----------------------------------------------------------
后续:由于这病毒太顽固,改的东西太多,还是重装得了

你可能感兴趣的:(linux服务器中毒排查--基础篇)