本次實驗使用Xorddos的病毒,作為模擬應急回應 ,自己的一次小計,
病毒清理
目錄
本次實驗使用Xorddos的病毒,作為模擬應急回應 ,自己的一次小計,
病毒清理
看到網上還有拓展知識
還有一種思路就是將linux磁盤掛載到Windows中,用火絨,360.....殺毒工具進行查殺可能會有奇效,
1.首先這個病毒檔案被植入后,除了當前打開的終端不可在打開新的終端,如若剛好為有終端打開則可以用以下方法重新打開終端界面,
這里我們可以運用網上檢索到的linux應急方式
linux 救援模式
https://blog.csdn.net/sadcd/article/details/104476885
linux 單用戶模式
https://blog.csdn.net/wangkai_123456/article/details/787596842.通過這上面其中一種方式即可,重新使用終端命令列界面
打開終端后輸入命令 發現沒.so庫
3.使用which命令 查看到這個命令的路徑
4.沒查到這個路徑 百度搜了下應該是環境變數被改變了
參考鏈接
https://blog.csdn.net/OldBoyLingYun/article/details/118219248
5.雖然不能用cat命令 但是可以使用它來補全看有什么檔案,(這里需要用cat查看一下每個人中間.so檔案所在位置可能有略微的差別)
這是兩條命令 第一條設定環境變數 第二天設定軟連接
LD_PRELOAD=/usr/lib64/libc-2.17.so ln -s /usr/lib64/libc-2.17.so /lib64/libc.so.66.接著就可以執行命令了,
7.我們先來查看一下行程資訊
8.殺掉行程后,?重新建?行程
9.查詢IP
10.將其加?iptables?名單
iptables -I INPUT -s 185.199.225.78/22 -j DROP
iptables -I OUTPUT -s 185.199.225.78/22 -j DROP11.查看計劃任務發現惡意腳本
12.查看/usr/bin?錄下新建?件
13.使?top命令查看行程,可以看到許多例外行程
14.將行程?錄卸載,然后將計劃任務中的腳本洗掉
15.再將/usr/bin下所有新建?件洗掉,以及開機?啟?件清理
16.將proc掛載,再將行程洗掉,行程特點隨機英?,且守護行程為相反名字,
mount -t proc proc /proc
17.這里就可以重啟一下看看病毒是否被完全清除,
18.重啟后查看行程,沒有木馬相關程式即表明木馬清理完成
看到網上還有拓展知識
參考鏈接
https://www.cnblogs.com/tssc/p/9265528.html
還有一種思路就是將linux磁盤掛載到Windows中,用火絨,360.....殺毒工具進行查殺可能會有奇效,
參考鏈接
https://blog.csdn.net/yuki5233/article/details/108489439轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/356208.html
標籤:其他
下一篇:C++——vector的模擬實作