CentOS를 구현하여 지속적으로 패키지를 보내는 방법

WJ
풀어 주다: 2020-06-05 16:07:29
원래의
2528명이 탐색했습니다.

CentOS를 구현하여 지속적으로 패키지를 보내는 방법

如何实现CentOS不停向外发包?

服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:

1.1 工具/原料

Linux系统病毒文件libudev.so

1.2 方法/步骤

1.网络流量暴增,使用 top 观察有至少一個 10 个随机字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又产生新的程序。

2.检查 cat /etc/crontab 发现定时任务 每三分钟执行一个脚本gcc.sh

*/3 * * * * root /etc/cron.hourly/gcc.sh

查看病毒程式 gcc.sh,可以看到病毒本体是 /lib/libudev.so。

[root@deyu ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
로그인 후 복사

刪除上一行例行工作 gcc.sh,并设定 /etc/crontab无法变动,否则马上又会产生新的文件。

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh && chattr +i /etc/crontab
로그인 후 복사

使用 top 查看病毒為 mtyxkeaofa,id 为 16621,不要直接杀掉程序,否则会再次产生新的文件,而是停止其运行。

[root@deyu ~]# kill -STOP 16621
로그인 후 복사

刪除 /etc/init.d 內的档案。

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f
로그인 후 복사

刪除 /usr/bin 內的档案。

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa
로그인 후 복사

查看 /usr/bin 最近变动的档案,如果是病毒也一併刪除,其他可疑的目錄也一樣。

[root@deyu ~]# ls -lt /usr/bin | head
로그인 후 복사

現在杀掉病毒程序,就不會再产生。

[root@deyu ~]# pkill mtyxkeaofa
로그인 후 복사

刪除病毒本体。

[root@deyu ~]# rm -f /lib/libudev.so
로그인 후 복사

使用此方法 可以完全清除此病毒。

1.3 注意事项

/proc里面的东西是可以更改的;lsof还比较忠诚,不直接读取/proc里面的信息,ps看到的就不一定真实,top看到的进程还是正确的。 附:find -o参数就是逻辑运算的or

相关参考:centOS教程



위 내용은 CentOS를 구현하여 지속적으로 패키지를 보내는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿