一.背景
1.bcc云主机,做练习用,期间安过很多东西mysql,redis,docker,hadoop,anconda等;
2.使用期间发现cpu占用持续飙高,load average都超过了核心数,经检查发现有无法关闭进程、定时任务、程序包;
3.估计这个病毒通过某次安装中的安全漏洞进入系统;
二.识别病毒
1.查看占用资源的程序 -》 追踪程序 -》推断可疑后台进程、定时任务
2.识别过程使用到的命令:
三.处理病毒
1.找到病毒对应的程序路径,ps -ef | grep "进程名
2.破坏关键脚本,将其加锁防止被重新覆盖 chattr
3.定时任务加锁 chattr +i /var/spool/cron/root, 修改定时任务
4.修改root密码,定时任务中执行禁止(在cat /var/log/secure中获取到的登录错误Fail的) IP访问sh
注:
a.一定要破坏对应的病毒程序,并对其加锁,防止病毒覆盖刷新;
b.对定时任务也是修改后加锁;
c.可以写一个定时执行禁止错误ip的脚本记录到hosts.deny
d.最后最好把密码改为安全密码.
-- end --
原文:https://www.cnblogs.com/coder-ydq/p/13858429.html