记服务器随机10字符病毒及被当做挖矿肉鸡的清除的过程

故障表现:某天晚上突然收到某项目一台web服务器CPU报警,SSH连接困难卡顿,登陆后发现CPU使用率飙升到700%,第一感觉是被黑了。

故障处理:

              1.top后发现有可以进程跑cpu已达到700%;

              2.杀掉可以进程,使SSH不那么卡顿,给自己处理问题创造条件,过了一段时间那个又会启动,第一反应就是crontab被做了手脚,cat /etc/crontab果然有个gcc4.sh;

              3.删掉crontab并且用chattr +i /etc/crontab 锁定文件;

              4.百度后发现是十字符病毒;

 lsof -R | grep "/usr/bin"

      ls -lt /usr/bin | head

      ls -lt /bin | head

      rm -fr /usr/bin/hjwgfprqsi && chattr +i /usr/bin/

时间: 2024-12-16 20:58:46

记服务器随机10字符病毒及被当做挖矿肉鸡的清除的过程的相关文章

Linux下随机10字符病毒的清除

故障表现: 登陆服务器执行sar –n DEV,查得向外流量输出达到120Mbit/s多,cacti显示占满总出口流量 故障判断: 关闭所有对外应用服务,即tomcat.nginx.vsftp,但关闭之后发现流量依然非常高 使用Ps –ef和netstat -ntplua检查可疑进程和端口,发现有进可疑进程netstat ps lsof等系统命令跑在/usr/bin/dpkgd目录里,而原系统命令已失效,得知系统已中木马病毒程序 故障排查: 用其他服务器上相同系统版本的命令替换回netstat

转:Linux下随机10字符病毒的清除

病毒表现:网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首.杀死该进程后,会再随机产生一个新的进程. 查找步骤:一./proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令,混淆管理员眼光查询线索,核验这一个,可以尝试把who等不常见的命令禁用执行权限,但随后却会发现该命令不停地出现在ps -Af里面: gnome-termin

linux随机10字母病毒

病毒表现: 网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首.杀死该进程后,会再随机产生一个新的进程. 清楚病毒步骤: 查看/proc/_pid/cmdline里面全是伪造信息,随机产生ps.su.top等命令: 由于病毒产生大量的流量,先使用iptables封掉出口IP,当病毒检测流量发布出去后会进入监听状态,监听端口: 想到病毒一般都会有检测机制,所以查找其根文件,cro

我的手机管家(10)病毒扫描 拷贝病毒数据库

我的手机管家(10)病毒扫描    拷贝病毒数据库 (1)将病毒数据库复制到asserts文件夹下,然后复制到 "data/data/com.chb.myphonesafe/files/antivirus.db" //数据库路径必须是data/data目录下,否则无法访问 拷贝:AssetUtil package com.chb.myphonesave.util; import java.io.File; import java.io.FileOutputStream; import

【10.2.3】ArcGIS Runtime for Android搭建开发环境过程中问题详解

一.Visual Studio Ultimate2012安装过程问题 1.问题描述 安装完成后,您将看到一条消息,指示安装程序已完成,但并不是所有的功能具有已正确安装,以及以下警告消息: Microsoft Web Deploy 3.0 所需的证书不在有效期内根据当前系统时钟或签名文件中的时间戳验证时. 2.解决方案 修改电脑系统时间为2013年7月,断网后重新安装,成功后再联网. Visual Studio Ultimate2012激活密钥:RBCXF-CVBGR-382MK-DFHJ4-C6

java随机生成字符串并排序

1 package com.Imooc; 2 3 import java.util.ArrayList; 4 import java.util.Collections; 5 import java.util.List; 6 import java.util.Random; 7 8 /** 9 * 利用Collections.sort()方法对泛型为String的List进行排序 10 * 1. 创建List<String>之后往其中添加十条随机字符串 11 * 2. 每条字符串为10以内的随机

java程序练习:数组中随机10个数中的最大值

//定义输入:其实是一个可以保存10个整数的数组 //使用循环遍历,生成10个随机数,放入每个元素中//打桩,数组中的内容 //定义输出变量 //将数组中第一个元素取出,保存在max中,当靶子 //遍历数组,从第二个元素[1]开始,都和max比较 //如果任何元素超过max,就取而代之//输出max

day 10 字符编码和文件处理 细节整理

pycharm是文本编辑器. 1 .字符编码: 字符====== (翻译过程)=======>数字. utf-8是unicode的变种,是万国编码.  2. 文本编辑器存取文件的原理(nodepad++,pycharm,word) 打开编辑器就打开了启动了一个进程,是在内存中的,所以在编辑器编写的内容也都是存放与内存中的,断电后数据丢失 因而需要保存到硬盘上,点击保存按钮,就从内存中把数据刷到了硬盘上. 在这一点上,我们编写一个py文件(没有执行),跟编写其他文件没有任何区别,都只是在编写一堆字

js小案例---1.随机10不重复10数并排序2.一次输入10数并输出和

<script>var array=new Array();for(var i=0;i<10;i++){ array[i]=parseInt(Math.random()*100); for(var j=0;j<=i;j++) { if(parseInt(array[i])==parseInt(array[j])&&i!=j) { --i; } }}for(var i=0;i<10;i++){ for(var j=0;j<=i;j++) { var a;