linux服務器 sysupdate病毒

• 發現病毒

  • 整齊劃一的進程，且本身沒有作過這樣的部署。發現不對勁，因而立刻使用kill命令幹掉這些進程。神奇的事情發生了，這些進程就像不倒翁同樣，幾個kill命令過去它們又從新站了起來。

• 定位病毒

  • 使用top命令得出進程號（PID）
    • top 命令介紹
      • http://www.javashuo.com/article/p-cevaoyky-ek.html
  • 使用命令ls -l proc/{進程號}/exe得出文件位置

• 清除病毒

  • 刪除在 /etc/ 目錄下還發現一個守護進程文件  /etc/update.sh
  • 使用 rm 命令直接刪除，會發現提示 cannot remove 'XXX'Operation not permitted
    •   lsattr 查看隱藏屬性
      • lsattr update.sh
    • 除去隱藏屬性
      • chattr -i update.sh
  • 檢查是否還有免密登陸的後門文件   /root/.ssh/authorized_keys 也一併刪除
  • 檢查定時任務  crontab -l 將可疑任務清除
  • 最後將服務器重啓，檢查是否還有異常