记录一次清除Linuxsysupdate, networkservice进程病毒的经历

#############################

免责声明：本文仅作收藏学习之用，亦希望大家以遵守《网络安全法》相关法律为前提学习，切勿用于非法犯罪活动，对于恶意使用造成的损失，和本人及作者无关。

##############################

找到公司的一台淘汰的服务器上想搭建个测试环境，连上服务器之后，发现命令行十分的卡，虽说淘汰电脑但是一直未使用任何业务，网络处于联通状态，于是采用top命令看看cpu占用率

通过进程发现2个疑似系统进程：

sysupdate和networkservice

维护开始：

1.使用top已经知道了进程号，使用命令ls -l proc/{进程号}/exe

2.删除定时任务：rm /var/spool/cron/root 或crontab -r

3.杀掉进程 删除文件

首先杀进程，kill -9 {进程号}，然后删除文件

直接删除sysupdate你会发现无法删除，因为一般病毒会使用chattr +i命令，我们使用chattr -i sysupdate，然后再 rm -f sysupdate 即可正常删除。然后继续删除networkservice、sysguard、update.sh、config.json。

4./root/.ssh/authorized_keys 删除或修复

PS.其他如果可能出现的情况：

如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

1.修复SELinux

病毒脚本首先就会尝试关闭SELinux子系统，我们可以使用getenforce命令查看SELinux状态。

如果你想要重新打开，可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing，然后重新启动服务器。

wget命令和curl命令会被改为wge和cur，这样用着很变扭，改回来

mv /bin/wge /bin/wget

mv /bin/cur /bin/curl

mv /usr/bin/wge /usr/bin/wget

mv /usr/bin/cur /usr/bin/curl

2.恢复防火墙配置

病毒脚本修改的iptables配置的语句为

iptables -Fiptables -Xiptables -A OUTPUT -p tcp --dport 3333 -j DROPiptables -A OUTPUT -p tcp --dport 5555 -j DROPiptables -A OUTPUT -p tcp --dport 7777 -j DROPiptables -A OUTPUT -p tcp --dport 9999 -j DROPiptables -I INPUT -s 43.245.222.57 -j DROPservice iptables reload

如果你的iptables策略确定被清除并且修改了，那直接清空并重新配置即可。

原文始发于微信公众号（菜鸟小新）：记录一次清除Linuxsysupdate, networkservice进程病毒的经历