#############################
免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。
##############################
找到公司的一台淘汰的服务器上想搭建个测试环境,连上服务器之后,发现命令行十分的卡,虽说淘汰电脑但是一直未使用任何业务,网络处于联通状态,于是采用top命令看看cpu占用率
通过进程发现2个疑似系统进程:
sysupdate和networkservice
维护开始:
1.使用top已经知道了进程号,使用命令ls -l proc/{进程号}/exe
2.删除定时任务:rm /var/spool/cron/root 或crontab -r
3.杀掉进程 删除文件
首先杀进程,kill -9 {进程号},然后删除文件
直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常删除。然后继续删除networkservice、sysguard、update.sh、config.json。
4./root/.ssh/authorized_keys 删除或修复
PS.其他如果可能出现的情况:
如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要
1.修复SELinux
病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。
wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来
mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl
2.恢复防火墙配置
病毒脚本修改的iptables配置的语句为
iptables -Fiptables -Xiptables -A OUTPUT -p tcp --dport 3333 -j DROPiptables -A OUTPUT -p tcp --dport 5555 -j DROPiptables -A OUTPUT -p tcp --dport 7777 -j DROPiptables -A OUTPUT -p tcp --dport 9999 -j DROPiptables -I INPUT -s 43.245.222.57 -j DROPservice iptables reload
如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。
原文始发于微信公众号(菜鸟小新):记录一次清除Linuxsysupdate, networkservice进程病毒的经历
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论