现象:
一个随机字母命名的进程,吃掉大量的cpu和网络带宽。如图:
杀死后,立刻新生一个随机字母的进程,继续作恶,如图:
原因可以有两个:有另外一个进程在守护着它,或者系统服务有相关设定。
1、寻找守护病毒的进程
Pstree可以看到这样的进程其实有两个,如果同时杀掉他们俩,会不会就解决问题?
如图可以看到:
一个表现异常设为A,一个隐藏在背后设为B。
2、看看系统服务设置:
看了下crontab, 发现有个3分钟就执行一个的脚本,结果顺藤摸瓜,发现一个伪装成库的程序,file它,发现它真实个可执行文件,ps了下,发现没有这个名字的进程,估计是改了名字,隐藏起来,它跟B有什么关系?然后顺手就把那个库文件libudev.so删掉,TMD,居然发现跟A一样,立即重生了,这里想会不会它们是相互守护的。试试同时杀掉它们,发现还是不行。
再看看init.d 结果发现了/usr/bin/A就是A的本地,之前pwdx是查不出A的路径的,估计是修改/proc/pid里面的信息。 rcX.d里面的也有指向init.d的链接文件,/etc/rc.d/rc<0-6>.d、/etc/rc<0-6>.d都有。
看了上面的信息,解决办法想到一个:将init.d相关的东西都删掉,crontab里面相关的设置去掉,并将所有的全局可执行目录attchar +i,删掉A的本体(库文件libudev.so可以不删,删也没有),最后杀掉进程A,发现并没有什么卵用
待续。。。
时间: 2024-11-07 04:19:57