Linux中处置挖矿病毒样本演示

一、病毒特征

1、top  查看cup使用率

Linux中处置挖矿病毒样本演示_第1张图片

CUP使用率极高,也可以看到它的PID

2、查看网络连接数

netstat -anpt | grep tcp

Linux中处置挖矿病毒样本演示_第2张图片

 连接数较高。

二、处置

1、kill pid 

        尝试删除可疑进程。

Linux中处置挖矿病毒样本演示_第3张图片

 

可以删除,但是他还是会自动启动

2、计划任务或者其他能够自启动的位置

crontab -l   #查看计划任务列表。

crontab -e    #进入后删除计划任务

kill                  #杀死进程

3、计划任务清除之后,他还是会自动写入。

4、检查进程

删除

查到这个可疑的进程。

ls -l /proc/72678/exe

找出它文件所在目录

 进去之后使用  ll -all   查看,这是可疑程序的:

Linux中处置挖矿病毒样本演示_第4张图片

 这个是正常程序的:

Linux中处置挖矿病毒样本演示_第5张图片

 这几个进程异常进程的都是一样。

``````好像也没办法处理

特点:

1、删除计划任务,1分钟后计划任务会被重写

2、所有进程结束之后都会被计划任务启动,也就是说它执行的来源都是计划任务的文件

3、删除计划任务下所对应的文件。

方法一:

删除计划任务下的文件

让木马无法在自启动,并结束这两个进程

Linux中处置挖矿病毒样本演示_第6张图片

Linux中处置挖矿病毒样本演示_第7张图片

系统回复正常。 

这是系统会收到一个邮件,汇报的是计划任务执行失败的提示,是因为我们将文件删除,计划任务无法执行。接下来就清空计划任务。

Linux中处置挖矿病毒样本演示_第8张图片

方法二:

通过PID查看对应的服务项

Linux中处置挖矿病毒样本演示_第9张图片

 

systemctl status 1525            #目标

Linux中处置挖矿病毒样本演示_第10张图片

 

systemctl status 1546          #目标文件

Linux中处置挖矿病毒样本演示_第11张图片

 

 

尝试删除目标文件和计划任务,因为它的周期是1分钟,所以在删除时候速度要快

[root@localhost ~]#

kill 1656 1732 && rm -rf /usr/sbin/CROND /etc/bash_completion.d/hri0j2 && crontab -r

#删除进程              #删除木马文件                                                         #删除计划任务

top检测进程正常!

Linux中处置挖矿病毒样本演示_第12张图片

 

你可能感兴趣的:(linux,系统安全,运维)