• linux系统下病毒排除思路


    1、top查看是否有特别吃cpu和内存的进程,病毒进程kill是杀不死的,因为ps命令被修改

    2、ls -la /proc/病毒进程pid/|grep cwd   cwd为病毒进程程序目录 一般在/usr/bin下

    3、/bin/ps,/bin/netsta程序都是1.2M的大小,显然被人掉包 ps  改成了ips

    4、进入/usr/bin  ls -lart 查看最近被修改的程序 .25unix为守护进程

    5、杀死守护进程 (先去掉i权限,然后删除,chattr命令被删除,去一台正常设备上拷贝一个正常的charrt命令,在/usr/sbin/下)

    主要命令:

    /tmp/chattr –I /usr/bin/.25unix

    rm –rf /usr/bin/.25unix

    top出病毒进程并杀死

    然后刹子进程

    ips -ef |grep "/usr/bin/"

    kill -9 杀死进程 

    6、删除程序

    /tmp/chattr -i 34 lockr .locks  dget .bget gurl .curl iss  nets dpkgd/* ips .25unix

    /tmp/chattr -i /bin/ps

     /tmp/chattr -i /bin/ss

    /tmp/chattr -i /bin/netstat

    /tmp/chattr -i /etc/init.d/Me8ing.conf(将病毒启动目录删除)

    /tmp/chattr -i /etc/rc.local vi将病毒自启项删除)

    7、恢复命令

    cp /usr/bin/ps /bin/ps

    cp /usr/bin/ss /bin/ss

    cp /usr/bin/netstat /bin/netstat

    恢复被修改的程序

    8、中毒后文件变化及修复

    /etc/rc.local权限改了,而且添加了一个开机启动项,/etc/init.d/下也有病毒启动程序

    /tmp/chattr -i /etc/rc.local 

    lsattr、chattr命令被删除

    开机自动启动文件增加2个启动项

    查看大小是否正常

    ls -lh /bin/netstat

    ls -lh /bin/ps

    ls -lh /usr/sbin/lsof

    ls -lh /usr/sbin/ss

    ips -ef |grep "/usr/bin/"

    kill -9 杀死进程

    执行/tmp/chattr +i  将/usr/bin/ /bin/ /etc/ 目录加上i权限,不允许创建.修改和删除文件

     

  • 相关阅读:
    echarts 地图 动态 展示 结合css+js
    优化之误!
    SQL Server 运行计划操作符具体解释(3)——计算标量(Compute Scalar)
    NHibernate概括
    C++的IO操作
    (数据结构整理)NJUPT1054
    nginx模块开发
    Html学习(三) 分类学习
    android 屏幕适配
    【POJ 1845】 Sumdiv (整数唯分+约数和公式+二分等比数列前n项和+同余)
  • 原文地址:https://www.cnblogs.com/xiaobaijin/p/10517681.html
Copyright © 2020-2023  润新知