国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

記一次linux復(fù)制病毒處理過程

2年前作者：熱得快炸了分類：Toy博客閱讀(20)違法舉報

這篇具有很好參考價值的文章主要介紹了記一次linux復(fù)制病毒處理過程。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

某天我的阿里云突然發(fā)信息告訴我服務(wù)器有自變異木馬,我用遠程工具連接服務(wù)器異常卡頓甚至掉線,reboot也不好使.用阿里云的網(wǎng)頁控制臺會好些,但還是卡,我又用阿里云控制臺重啟服務(wù)器,重啟之后發(fā)現(xiàn)服務(wù)器完全連不上了,ping也ping不通了,我問了客服說可以用救援連接試試,果然能連上,起初發(fā)現(xiàn)連不上的原因是防火墻的問題,后來發(fā)現(xiàn)是網(wǎng)絡(luò)服務(wù)掛了,起了network服務(wù)之后,遠程工具也可以正常連接了,但還是卡頓,我還是用阿里云的網(wǎng)頁控制臺吧.
上去top 命令一看有個隨機字符串的進程名占用了30%的cpu資源,kill掉之后又產(chǎn)生了另一個隨機進程名,隨后我ll /etc/cron*查看定時任務(wù)目錄有沒有被修改,發(fā)現(xiàn)有一個剛剛生成的類似定時任務(wù)shell腳本,內(nèi)容如下:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp "/usr/bin/vauokamjnsqtyl" "/usr/bin/jyfsttydua"

嘗試刪除該文件,但立馬又生成了一個新的文件,然后我把文件中的cp命令修改為rm -rf命令,還是會重新生成文件.

于是我到/usr/bin目錄下用ll -art查看最近修改過的文件,發(fā)現(xiàn)有好多隨機字符串的文件,我刪除還是會復(fù)制一個新的文件,上網(wǎng)搜了半天,發(fā)現(xiàn)有個chattr命令可以阻止目錄生成新的文件,于是我把定時任務(wù)目錄中的腳本刪除再禁止生成新文件:

rm -f *.sh; chattr +i /etc/cron.hourly

正當(dāng)我準備用同樣的方法處理/usr/bin目錄的時候,發(fā)現(xiàn)/usr/bin目錄下復(fù)制了幾十個同類腳本,簡直像吃了屎一樣惡心,又到網(wǎng)上搜了半天,發(fā)現(xiàn)find命令有個-mtime參數(shù)可以找到最近幾天內(nèi)修改過的文件,配合-delete參數(shù)可以刪除:

find /usr/bin -mtime -1 -type f -delete; chattr +i /usr/bin

這次終于沒有新的文件產(chǎn)生了,再看一眼top命令,木馬進程也不在了^_^

本文由博客一文多發(fā)平臺 OpenWrite 發(fā)布！文章來源地址http://www.zghlxwxcb.cn/news/detail-820202.html

到了這里，關(guān)于記一次linux復(fù)制病毒處理過程的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費用

記一次Windows勒索病毒應(yīng)急響應(yīng)實戰(zhàn)
查看本地用戶，未發(fā)現(xiàn)異常：打開任務(wù)管理器，發(fā)現(xiàn)可疑進程F.exe：利用wmi查看進程信息，發(fā)現(xiàn)其位置在開始菜單啟動項中： C:UsersgyAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 同時，通過任務(wù)管理器，發(fā)現(xiàn)windows臨時文件夾中也有該程序通過測試可知F.exe為勒索病毒程
2024年02月06日
瀏覽(27)
記一次“XMR門羅幣挖礦木馬病毒”處置
故事的起因于26號下午做滲透測試時，登錄跳板機發(fā)現(xiàn)CPU進程拉滿到200%，qiao哥看了一眼直接說是XMR挖礦，這句話勾引起我的興趣，由于應(yīng)急是我的薄弱項也沒有時間深入學(xué)習(xí)，所以有本篇應(yīng)急分析文章。市面上存在很多關(guān)于XMR門羅幣挖礦的教程，這些教程可能會被攻擊者惡
2024年04月22日
瀏覽(24)
記一次centos 磁盤掛載過程
最近買了云服務(wù)器磁盤，需要掛載，一下就由大猿來記錄這次過程。查看磁盤掛載情況查看物理硬盤標記分區(qū) 格式化分區(qū) xfs ext4 xfs 和 ext4 區(qū)別在大多數(shù)情況下，ext4和xfs都具有較高的性能，可以滿足一般的存儲需求。對于大文件讀寫和吞吐量要求較高的場景，xfs表現(xiàn)更為
2024年02月14日
瀏覽(30)
記一次Kafka重復(fù)消費解決過程
? ? ? ? 起因：車聯(lián)網(wǎng)項目開發(fā)，車輛發(fā)生故障需要給三個系統(tǒng)推送消息，故障上報較為頻繁，所以為了不阻塞主流程，采用了使用kafka。消費方負責(zé)推送并保存推送記錄，但在一次壓測中發(fā)現(xiàn)，實際只發(fā)生了10次故障，但是推送記錄卻有30多條。 ????????問題排查，發(fā)現(xiàn)
2024年02月13日
瀏覽(24)
記一次 stackoverflowerror 線上排查過程
???? xxx 日,突然收到線上日志頻繁告警 classCastException .從字面上的報警來看,僅僅是類型轉(zhuǎn)換異常,查看細則發(fā)現(xiàn)其實是 stackOverFlowError .很多同學(xué)面試的時候總會被問到有沒有遇到過線上 stackOverFlowError ?有么有遇到棧溢出?具體棧溢出怎么來解決?今天他來了,他帶著問題走
2024年01月23日
瀏覽(25)
記一次線上BUG排查過程
1. 線上遇到一個非常奇怪的bug，為一個用戶分配業(yè)務(wù)線類型后，該用戶登錄時，提示502，但其它的用戶登錄完全是正常的 2. 問題現(xiàn)象 3. 排查思路先去看線上日志，看是否有error，但日志里邊這個接口200正常返回本地debug，也復(fù)現(xiàn)一樣問題，在分配角色類型超過22個總數(shù)時就報
2024年02月09日
瀏覽(30)
記一次后臺開發(fā)面試拷打過程
開頭簡單的自我介紹，面試官和我聊了聊天緩解個人緊張狀況，然后就讓開屏幕共享開視頻做題目，做完以后，問了一些問題，就讓等通知了，估計是涼了，不過這里且把當(dāng)時做的筆試題目復(fù)盤一下吧！題目是ai做的題解，唉，AI都比我強，比我面試的時候解釋的強多了，未來
2024年02月08日
瀏覽(27)
記一次 Oracle 下的 SQL 優(yōu)化過程
事情是這樣的，UAT 環(huán)境的測試小伙伴向我扔來一個小 bug，說是一個放大鏡的查詢很慢，轉(zhuǎn)幾分鐘才出數(shù)據(jù)，我立馬上開發(fā)環(huán)境試了一下，很快啊我說??，放大鏡的數(shù)據(jù)立馬就出來了，然后我登錄 UAT 環(huán)境一看，誒是有些慢?? ，于是開始了我的排查之旅... 首先我立馬拿到了
2024年02月05日
瀏覽(22)
記一次docker服務(wù)啟動失敗解決過程
環(huán)境：centos 7.6 報錯：start request repeated too quickly for docker.service 由于服務(wù)器修復(fù)了內(nèi)核漏洞，需要重啟，沒想到重啟后，docker啟動失敗了查看狀態(tài) 如下圖里面有一行提示：提示要 journalctl -x 這個命令查看詳細問題，其實用這個命令無法定位到具體問題的，于是使用了另外一
2024年01月18日
瀏覽(25)
記一次批量更新mysql數(shù)據(jù)過程
一、前言需求背景：mysql數(shù)據(jù)庫中有一個表的數(shù)據(jù)（600多萬）有一個字段的內(nèi)容需要解密再通過另外一種加密方式進行加密再回存。通過java程序計算完成更新。二、方案一一條條計算更新。這里是將手機號解密，在通過另外一種方式回存。算法步驟： 1、查詢需要解密的數(shù)
2024年02月10日
瀏覽(19)