今天gitlib服务变得 很慢,提交代码甚至失败,排除了下网络,最后登上机器
登录特别慢,此时想到肯定是中毒了。top看了下。果不其然 【watchbog】cpu占用160%
随手杀了,几秒后又启动了。还是先查启动脚本吧
crontab -l 了下 果然有一个定时任务
crontab -r 去掉了,再kill 掉进程
几秒后又变卡了。意识到还有其他 启动,得深入查下了
下载脚本下载的文件,是个base64加密串,解密后提取出ip
- ptpb.pw
- pastebin.com
- gitee.com
- aziplcr72qjhzvin.onion.to
我们都给指定解析到本地
vim /etc/hosts
添加 一行
127.0.0.1 ptpb.pw pastebin.com gitee.com aziplcr72qjhzvin.onion.to
然后我再一个一个检查这几个定时任务
- /etc/cron.d
- /etc/cron.deny
- /etc/cron.monthly
- /etc/cron.daily
- /etc/cron.hourly
- /etc/crontab
- /etc/cron.weekly
删除掉新增的
最后还发现在新增了命令/bin/httpntp、/bin/ftpsdns
查看对应命令文件,也是下载启动这个病毒的
删掉 /bin/httpntp、/bin/ftpsdns、/bin/watchbog
最后再kill 掉进程,观察一会,此时世界安静