记录一次清除Linuxsysupdate, networkservice进程病毒的经历
  

sailyang 3650

{{ttag.title}}
本帖最后由 sailyang 于 2019-9-5 15:45 编辑

找到公司的一台淘汰的服务器上想搭建个测试环境,连上服务器之后,发现命令行十分的卡,虽说淘汰电脑但是一直未使用任何业务,网络处于联通状态,于是采用top命令看看cpu占用率
92245d70bae744618.png

通过进程发现2个疑似系统进程:
sysupdate和networkservice

维护开始:
1.使用top已经知道了进程号,使用命令ls -l proc/{进程号}/exe
267105d70bb3e1f32a.png

2.删除定时任务:rm /var/spool/cron/root 或crontab -r

3.杀掉进程 删除文件
首先杀进程,kill -9 {进程号},然后删除文件
直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常删除。然后继续删除networkservice、sysguard、update.sh、config.json。

4./root/.ssh/authorized_keys 删除或修复

PS.其他如果可能出现的情况:
如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要
1.修复SELinux
病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。
wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来
mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

2.恢复防火墙配置
病毒脚本修改的iptables配置的语句为
iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload
如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

沧海 发表于 2019-9-6 18:33
  
学习一下  
新手638979 发表于 2019-9-9 17:23
  
积极学习
hell—123456 发表于 2019-9-11 10:17
  
顶一个
sangfor45733 发表于 2019-9-11 16:33
  
问题处理的流程写得挺好的,对主机卡顿时,比较直观的能看到现象。还可以进一步分析有无异常外连,重启后是否还会存在问题等。感谢分享
zqm 发表于 2019-9-18 16:55
  
写的非常不错,学习了清除Linuxsysupdate, networkservice进程病毒,对清除其他linux病毒有指导意义
厌児 发表于 2019-9-22 17:57
  
感谢分享呢
新手787378 发表于 2021-1-6 16:42
  

干货满满,感谢楼主的分享!
新手127299 发表于 2021-1-19 20:27
  
感谢楼主的精彩分享,有助工作。
新手439201 发表于 2021-1-26 13:48
  
值得学习,感谢分享。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人