Linux一次病毒处理

2024-01-08 17:58:13

现象:CPU、内存爆满,top命令无法检测出异常进程

  1. 通过网络连接查看是否有异常连接,发现异常连接国外IP,疑是感染挖矿病毒
netstat -anp
  1. 通过变更文件可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的。 vi /etc/ld.so.preload 去掉里面的更改内容

在 Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。
——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》

  1. 通过top查找出对应的异常进程
    在这里插入图片描述
  2. 查看crontab、/etc/cron…、环境变量.bash_profile、/etc/rc.local等内容,找出是否异常
    在这里插入图片描述
    发现木马文件删除:
crontab -r
lsattr /bin/bprofr
chattr -ia /bin/bprofr
rm -rf /bin/bprofr
chattr -ia .bash_profile
vi .bash_profile

文章来源:https://blog.csdn.net/Beer_xiaocai/article/details/135457172
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。