机器被感染病毒文件zigw的处理流程

1、现象

服务器CPU报警，查看时，已接近100%。

 

2、查找

我们使用top命令来查看是哪个进程在占用CPU。

执行top后，屏幕上立马显示占用CPU最高的那个进程--zigw。此时我们记录下进程的PID，假设为12345。

这里有一个问题：如果在还没有弄清楚病毒文件的路径前，就慌忙杀死了进程，那么就需要多出一步来查找文件文件，因为我们要测底删除它。

(1) 如果在不知道程序的文件路径前，就杀死了进程(kill -9 12345)，那么就只能通过find / -name zigw来查找病毒文件的位置了。找到后，首要做的就是删除它。

(2) 如果没有杀死进程，我们可以先获取病毒文件路径。ll /proc/12345，发现程序的文件指向/etc/zigw，于是开始删除它。然后再杀死进程。

 

3、删除 

删除的过程中，会遇到无法删除的情况。这是因为文件添加了隐藏属性。

# lsattr zigw

查看文件隐藏属性，一般会有i和a这两个隐藏属性，这俩属性阻止了我们的删除行为。

我们首要做的就是取消这俩权限。

 

# chattr -ia zigw

# rm -f zigw

 

4、检查

一般攻击者会加入定时任务和留下后门。

# crontab -l

执行时，出现了乱码，但乱码中有一些信息。它会从某个远程地址下载脚本来执行。

http://chrome.zer0day.ru:5050/mrx1

这个地址是我被攻击时显示的，如果你被攻击了，可能就不是这个地址了。

 

# crontab -e

想去删除定时任务，发现无法删除，每次保存退出后，它又还原了。

还原的同时它会报出另外一个目录：/var/spool/cron，进入该目录，目录下有2个文件，直接rm -rf *无法删除。

同理是隐藏属性的事。

# lsattr *

# chattr -ai root

# chattr -ai dump.rdb

 

同时还要查看/root/.ssh/authorized_keys文件，如果有多余的密钥，需要清除它们。

 

5、反思

此次攻击是攻击者利用了redis的漏洞进入的，以后要严格限制防火墙的开放规则，对于已经有安全通报的软件不要随意安装。

 

参考站点：

https://blog.csdn.net/sayWhat_sayHello/article/details/83988443

http://blog.51cto.com/10950710/2123114?tdsourcetag=s_pcqq_aiomsg