记一次清理挖矿病毒

参考https://www.freebuf.com/column/162604.html?tdsourcetag=s_pcqq_aiomsg
参考https://blog.csdn.net/hgx13467479678/article/details/82347473
参考https://www.jianshu.com/p/560111e6d3bf(和我情况一模一样)

有次检查服务器时,发现一直在报错

然后看到删除,发现删除不了,但是在root家目录下找到几个诡异的文件,查看后感觉估计是中病毒了,

将病毒脚本改名伪装成正常配置文件,并在计划任务做隐藏

通过第三个大佬的博客,看到库是可以删除的,我一直有给误区就是库文件不能删除,只是需要chattr -i进行解锁,就可以删除了,然后找到病毒源程序mdmisc,另外一个没找到

解决方法:
1清除掉/etc/init.d和/etc/rc*.d下的所有自启文件

2再清除那两个锁定的/etc/ld.so.preload,/usr/local/lib/libftp.so,

3然后找到mdmisc的二进制程序路径,查看具体内容进行还原环境,

4第三步我没做好,直接删了二进制文件不知道修改内容,环境不好还原

5清除所有伪装成计划任务的病毒脚本和家目录或tmp下的病毒脚本

6重启就正常了

posted @ 2019-07-27 16:56  A学无止境A  阅读(412)  评论(0编辑  收藏  举报