在网上查询了一下,各种教程都不是那么的全。该病毒又很变态。
在这里他的相关机制就不研究了。关键看如何删除:::
先看看被攻击者修改过的:/etc/rc.local文件。
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /root/
./youta&
./youni&
/etc/init.d/iptables stop
这是修改过的内容。
这里可以看到,他启动一系列的进程,并且最后还把放火墙给你关掉了。
那现在好办了。先找到以上对应的所有文件全部删除。
这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。
这个时候,病毒程序基本清楚完整了,但是,防火墙还是会被关闭。那你得看定时任务的问题了。
最后记得清除被修改过的/etc/rc.local文件。
第一次中linux病毒。感觉还是挺爽的。
系统:centos
症状:不停的向外网发送数据包,导致路由器频繁重启。查看进程可以看到多出的很多进程。用netstat -atnpl一看有很多活动的连接。
原因分析:由于开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。并且登陆密码也不是那么复杂。可能被黑了。
linux安全一定不容小觑。
在这里他的相关机制就不研究了。关键看如何删除:::
先看看被攻击者修改过的:/etc/rc.local文件。
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /root/
./youta&
./youni&
/etc/init.d/iptables stop
这是修改过的内容。
这里可以看到,他启动一系列的进程,并且最后还把放火墙给你关掉了。
那现在好办了。先找到以上对应的所有文件全部删除。
这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。
这个时候,病毒程序基本清楚完整了,但是,防火墙还是会被关闭。那你得看定时任务的问题了。
最后记得清除被修改过的/etc/rc.local文件。
第一次中linux病毒。感觉还是挺爽的。
系统:centos
症状:不停的向外网发送数据包,导致路由器频繁重启。查看进程可以看到多出的很多进程。用netstat -atnpl一看有很多活动的连接。
原因分析:由于开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。并且登陆密码也不是那么复杂。可能被黑了。
linux安全一定不容小觑。
居然有病毒
居然有病毒。。。
我连ssh都没装
