記一次Linux防毒過程
阿新 • • 發佈:2019-01-23
不久前發現機器流出流量突然增加,經檢視在/tmp目錄下存在可疑檔案,並且存在.ssh程序,於是安裝clamav全盤掃描,最終確定機器中毒。
病毒現象
1、在tmp目錄下moni.lod、gates.lod、time、sess、java等可疑檔案
2、存在.ssh、getty、zabbix_Agetntd等可疑程序
3、ps、netstart、ss程式執行檔案被替換掉了
等等
查殺指令碼
僅清除個別檔案,病毒還會重新恢復,刪除檔案後需要立即重啟系統。
感謝ttBoy的真實分享!
病毒現象
1、在tmp目錄下moni.lod、gates.lod、time、sess、java等可疑檔案
2、存在.ssh、getty、zabbix_Agetntd等可疑程序
3、ps、netstart、ss程式執行檔案被替換掉了
等等
查殺指令碼
僅清除個別檔案,病毒還會重新恢復,刪除檔案後需要立即重啟系統。
#!/bin/bash rm -rf /tmp/moni.lod rm -rf /tmp/gates.lod rm -rf /tmp/time rm -rf /tmp/sess rm -rf /tmp/java rm -rf /usr/bin/bsd-port/ rm -rf /etc/init.d/DbSecuritySpt rm -rf /etc/rc.d/init.d/DbSecuritySpt rm -rf /etc/rc.d/rc1.d/S97DbSecuritySpt rm -rf /etc/rc.d/rc2.d/S97DbSecuritySpt rm -rf /etc/rc.d/rc3.d/S97DbSecuritySpt rm -rf /etc/rc.d/rc4.d/S97DbSecuritySpt rm -rf /etc/rc.d/rc5.d/S97DbSecuritySpt rm -rf /etc/rc1.d/S97DbSecuritySpt rm -rf /etc/rc2.d/S97DbSecuritySpt rm -rf /etc/rc3.d/S97DbSecuritySpt rm -rf /etc/rc4.d/S97DbSecuritySpt rm -rf /etc/rc5.d/S97DbSecuritySpt rm -rf /usr/bin/.sshd rm -rf /etc/rc.d/init.d/selinux rm -rf /etc/rc.d/rc1.d/S99selinux rm -rf /etc/rc.d/rc2.d/S99selinux rm -rf /etc/rc.d/rc3.d/S99selinux rm -rf /etc/rc.d/rc4.d/S99selinux rm -rf /etc/rc.d/rc5.d/S99selinux rm -rf /etc/rc1.d/S99selinux rm -rf /etc/rc2.d/S99selinux rm -rf /etc/rc3.d/S99selinux rm -rf /etc/rc4.d/S99selinux rm -rf /etc/rc5.d/S99selinux rm -rf /usr/sbin/ss rm -rf /bin/ps rm -rf /bin/netstat rm -rf /tmp/conf.n rm -rf /tmp/cmd.n ##把正常的執行檔案替換中毒的檔案 mv ./ss /usr/sbin/ mv ./ps /bin/ mv ./netstat /bin/ reboot
感謝ttBoy的真實分享!