前两天一服务器一联网就丢包,断断续续,流量监控到流量跑的非常高,怀疑是攻击但关闭80口后问题依旧,开始着手是否服务器中了病毒果然不出所料
netstat -nltp
发现有三个可疑链接文件名如下
sfewfesfs
sshdd14XXXXXXXX(一串随机数字)
sshhdd14XXXXXXXX(一串随机数字)
查看文件进程PID路径
ps -axu | grep -i sfewfesfs
ps -axu | grep -i sshdd14*
ps -axu | grep -i sshhdd14*
发现sfewfesfs和nhgbhhj在/etc下
首先解除删除权限chattr -i /etc/sfewfesfs*
rm -rf /etc/sfewfesfs*
看到名为nhgbhhj等的可疑文件一并删除
rm -rf /etc/nhgbhhj
rm -rf /etc/nhgbhhj*
删除计划任务,防止病毒再次生成
rm -rf /var/spool/cron/root
rm -rf /var/spool/cron/root.1
用ls -al /etc看到.SSH2(还有可能是.SSHH2)隐藏文件,删除
rm -rf /etc/.SSH2
rm -rf /etc/.SSHH2
用ls -al /tmp看到.sshdd14XXXXXXXX(一串随机数字)或.sshhdd14XXXXXXXX(一串随机数字)隐藏文件,删除
rm -rf /tmp/.sshdd14*
rm -rf /tmp/.sshhdd14*
重启服务器后,一切恢复正常。
时间: 2024-10-10 16:06:52