×

记录一次清除Linuxsysupdate, networkservice进程病毒的经历
  

sailyang 5511

{{ttag.title}}
本帖最后由 sailyang 于 2019-9-5 15:45 编辑

找到公司的一台淘汰的服务器上想搭建个测试环境,连上服务器之后,发现命令行十分的卡,虽说淘汰电脑但是一直未使用任何业务,网络处于联通状态,于是采用top命令看看cpu占用率

通过进程发现2个疑似系统进程:
sysupdate和networkservice

维护开始:
1.使用top已经知道了进程号,使用命令ls -l proc/{进程号}/exe

2.删除定时任务:rm /var/spool/cron/root 或crontab -r

3.杀掉进程 删除文件
首先杀进程,kill -9 {进程号},然后删除文件
直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常删除。然后继续删除networkservice、sysguard、update.sh、config.json。

4./root/.ssh/authorized_keys 删除或修复

PS.其他如果可能出现的情况:
如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要
1.修复SELinux
病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。
wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来
mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

2.恢复防火墙配置
病毒脚本修改的iptables配置的语句为
iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload
如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

沧海 发表于 2019-9-6 18:33
  
学习一下  
新手638979 发表于 2019-9-9 17:23
  
积极学习
头像被屏蔽
hell—123456 发表于 2019-9-11 10:17
  
提示: 作者被禁止或删除 内容自动屏蔽
sangfor45733 发表于 2019-9-11 16:33
  
问题处理的流程写得挺好的,对主机卡顿时,比较直观的能看到现象。还可以进一步分析有无异常外连,重启后是否还会存在问题等。感谢分享
zqm 发表于 2019-9-18 16:55
  
写的非常不错,学习了清除Linuxsysupdate, networkservice进程病毒,对清除其他linux病毒有指导意义
厌児 发表于 2019-9-22 17:57
  
感谢分享呢
新手787378 发表于 2021-1-6 16:42
  

干货满满,感谢楼主的分享!
新手127299 发表于 2021-1-19 20:27
  
感谢楼主的精彩分享,有助工作。
新手439201 发表于 2021-1-26 13:48
  
值得学习,感谢分享。
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
产品连连看
功能体验
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人