今天gitlib服务变得 很慢,提交代码甚至失败,排除了下网络,最后登上机器 

登录特别慢,此时想到肯定是中毒了。top看了下。果不其然 【watchbog】cpu占用160%

随手杀了,几秒后又启动了。还是先查启动脚本吧

crontab -l 了下 果然有一个定时任务 

crontab -r  去掉了,再kill 掉进程

几秒后又变卡了。意识到还有其他 启动,得深入查下了

下载脚本下载的文件,是个base64加密串,解密后提取出ip

  1. ptpb.pw
  2. pastebin.com
  3. gitee.com 
  4. aziplcr72qjhzvin.onion.to

我们都给指定解析到本地

vim /etc/hosts

添加 一行 

  127.0.0.1   ptpb.pw pastebin.com  gitee.com  aziplcr72qjhzvin.onion.to

然后我再一个一个检查这几个定时任务

  1. /etc/cron.d
  2. /etc/cron.deny
  3. /etc/cron.monthly
  4. /etc/cron.daily
  5. /etc/cron.hourly
  6. /etc/crontab
  7. /etc/cron.weekly

删除掉新增的

最后还发现在新增了命令/bin/httpntp、/bin/ftpsdns

查看对应命令文件,也是下载启动这个病毒的

删掉 /bin/httpntp、/bin/ftpsdns、/bin/watchbog

最后再kill 掉进程,观察一会,此时世界安静