先是發現linux常見命令wget,curl不見了,以為是誤操作沒了,發現歷史命令都沒了,就很不正常,但是top也沒見有啥高消耗行程,就沒在意,,yum安裝命令時竟然顯示安裝了,rpm -qa 截取查看命令也在,神奇啊
但是就yum下載時顯示域名決議失敗,修改resove檔案權限拒絕!!我就懵逼,查看隱藏權限后發現有i和額,使用chattr去除時顯示權限不夠!!!這人牛皮了,把命令執行權限去掉了,chmod加上繼續執行
繼續yum安裝curl,但是還是安裝不了,顯示有yum行程在運行,,就有點懵逼,ps看了下yum程式,發現有一個在安裝unhied,很明顯不是我的
正思考時突然彈出一條有郵件資訊,然后不自覺的就看了下計劃任務,有一條我沒見過的
然后查看這個newinit.sh,里面可大有學問哈,也找到了我命令能查到不能使用的原因了
瞬間就感覺這人有點笨,你cp不好嗎,非得mv
繼續查看找到一ip:195.58.39.46
石錘被搞了,這就是真實ip沒cdn
那接下來直接上才藝,這必定又一個自啟功能和守護行程
理論上殺掉行程就ok
kill -9 ps -ef | grep newinit | grep -v grep |awk '{print $2}'
然后就是計劃任務:
crontab -e進去刪掉后再看竟然還在里面,臥c
又是寶貝,解除保護并清空
到此就危機解除,至于這個被上傳的腳本有啥功能還需研究下,
-----------------------------------------------------------
后續:由于這病毒太頑固,改的東西太多,還是重裝得了
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/278056.html
標籤:其他