标签:centos linux 顽固病毒程序 10个随机英文字母
病毒发现:在监控屏上发现DMZ区的流量突然达到900M,导致DMZ去的访问速率延缓,通过向下联口排查,最终把目标锁定在教务处的一台服务器。在该服务器上安装的是CentOS6.4,向外提供web服务。
病毒特征:该台服务器有许多陌生的进程在以root身份运行,连续不断的向外发送请求,消耗了大量的CPU资源和网络带宽,导致正常访问该服务器的请求得不到回应。
病毒定位:首先我通过top命令看到这些异常进程的名字有一定的规律性,它们每个都是由10个随机英文小写字母组成。每当我使用kill把这些进程杀掉之后,其它进程又会立即运行起来,而且越来越多。
我通过which命令查看了一下这些进程的位置,想把执行这些进程的程序删除掉,但最后失败了,因为当我删掉之后不久它们又重新生成了。
我查看了一下计划任务里边的内容(也就是文件/etc/crontab),终于有了重大发现,我发现了下面这一行内容
*/3 * * * * root /etc/cron.hourly/gcc.sh
这样系统会每隔三分钟就执行一次脚本。不仅如此,我还发现总共有五行任务,和上面的内容一模一样,这便意味着系统每隔三分钟便会同时执行这一任务五次,这样便会有一次特别繁忙的时期。
我又检查了一下开机自启的文件(/etc/init.d/目录下),发现每有许多陌生文件,文件名都是由10个随机英文小写字母组成。而且在/etc/rc.d/目录的子目录rc0.d/等目录下有许多连接文件,指向了/etc/init.d/目录下的异常自启文件。
病毒执行:在每次开机时异常文件都会自动运行,并且会在/etc/crontab文件里追加任务和在/etc/cron.hourly/目录下生成gcc.sh文件。即便我用kill把病毒进程给杀掉,但是每隔三分钟这些病毒进程便会重新运行。
病毒清理:
第一步:删掉/etc/crontab文件中的内容,在删除/etc/cron.hourly/gcc.sh文件,这样病毒程序便不会每隔3分钟就运行。为防止万一,我们还可以给文件/etc/crontab和目录/etc/cron.hourly/添加隐藏属性i(chmod +i filename),这样两个文件便不会被轻易修改。
第二步:删掉病毒进程(kill -9 pid)
第三步:在目录/bin/和/usr/bin/下删除病毒程序文件(可以参照文件名,即10个随机英文字母)。
第四步:删除自启文件。在目录/etc/init.d/下删除所有的异常自启文件(可以参照文件名,即10个随机英文字母),删除/etc/rc.d/目录的子目录下链接到/etc/init.d/目录下的病毒文件。
第五步:把文件/etc/crontab和目录/etc/cron.hourly/的隐藏属性去掉(chmod -i filename)。完成后重启服务器。
小结:相关文件录
/etc/init.d/ /etc/rc.d/ /etc/crontab /etc/cron.hourly/
相关命令工具
top which kill chmod rm
本文出自 “jltx_lgq” 博客,谢绝转载!
标签:centos linux 顽固病毒程序 10个随机英文字母
原文地址:http://lgq258.blog.51cto.com/9766325/1686804
