• 生活的道路一旦选定,就要勇敢地走到底,决不回头。——左拉
  • 坚强的信心,能使平凡的人做出惊人的事业。——马尔顿
  • 人不可有傲气,但不可无傲骨。 --徐悲鸿
  • 古之立大志者,不惟有超世之才,亦必有坚韧不拔之志。 --苏轼
  • 时间像海绵里的水,只要你愿意挤,总还是有的。 --鲁迅

Linux服务器中病毒解决方法

工作随笔 zkinogg 3周前 (08-02) 48次浏览 0个评论

1、前言

在测试环境某台机器进行yum安装wget时,发现yum源有问题,经过更改,发现无法识别阿里云源,怀疑DNS没有配置,所以尝试更改/etc/resolv.conf

2、遇到问题1:resolv.conf无法保存

使用枷锁命令查看

 

 

 

解锁失败,发现无权限

 

 

 

 

 

这里发现chattr命令本身也被上锁了,通过网上教程,cp一个对本身解锁再进行授权终于可以编辑了

 

 

 

 

 

 

 

 

 

3、问题2:发现将chattr解锁后中挖矿病毒了

ERROR: ld.so: object ‘/usr/local/lib/libs.so‘ from /etc/ld.so.preload cannot be preloaded: ignored.

 

 

4、解决

1、查看文件属性:

lsattr /etc/ld.so.preload

—-ia——-e– /etc/ld.so.preload

2、移除ia属性:

chattr -ia /etc/ld.so.preload

3、对系统目录上锁并删除可能篡改文件

# 抹掉 该文件中的甲类类库操作
echo “” > /etc/ld.so.preload
# 修改完 , 立即对 /etc 进行加锁 , 方式后面的恶意篡改
# 此处命令需要注意 , 锁定etc 之后可能会导致后续有些命令无法正常使用 , 例如
# 服务器被劫持且账号密码泄漏后需修改服务器密码时使用 passwd命令便会受影响 , 小心使用!!
# 如需使用 , 请在使用前 去掉etc 的锁 chattr -i /etc
chattr +i /etc
# 删除各种定时器
rm -rf /var/spool/cron/*
rm -rf /etc/cron.d/*
# 同理 , 删除结束之后对该文件进行枷锁处理
chattr +i /var/spool/cron/
rm -f /usr/local/lib/lbb.so
chattr +i /usr/local/lib
# 杀掉有关该恶意脚本的进程
killall kworkerds
rm -f /var/tmp/kworkerds*
rm -f /var/tmp/1.so
rm -f /tmp/kworkerds*
rm -f /tmp/1.so
rm -f /var/tmp/wc.conf
rm -f tmp/wc.conf

喜欢 (3)
[17551054905]
分享 (0)

您必须 登录 才能发表评论!