linux服务器病毒

时间  2019-12-06 标签 linux 服务器 病毒

流媒体服务器,突然发现TX带宽到了800Mbash


经查,top时有cp命令异常服务器

使用 ps -efx 命令,发现有这样一个cp  spa

/root/cp进程

使用which cp,发现cp老老实实在/bin/cp下待着呢it

好了搜索

/root/cp确定是坏人了grep

谁启动了它呢?异常

用这个命令:top

find /etc/init.d/ |xargs grep --color /root/cp文件

发现这个东西:/etc/init.d/DbSecuritySpt 


[root@localhost ~]# find /etc/ -name \*DbSecuritySpt|xargs ls -lh
-rwxr-xr-x. 1 root root 21 Sep 22 16:14 /etc/rc.d/init.d/DbSecuritySpt
lrwxrwxrwx. 1 root root 25 Sep 18 03:42 /etc/rc.d/rc1.d/S97DbSecuritySpt -> /etc/init.d/DbSecuritySpt
lrwxrwxrwx. 1 root root 25 Sep 18 03:42 /etc/rc.d/rc2.d/S97DbSecuritySpt -> /etc/init.d/DbSecuritySpt
lrwxrwxrwx. 1 root root 25 Sep 18 03:42 /etc/rc.d/rc3.d/S97DbSecuritySpt -> /etc/init.d/DbSecuritySpt
lrwxrwxrwx. 1 root root 25 Sep 18 03:42 /etc/rc.d/rc4.d/S97DbSecuritySpt -> /etc/init.d/DbSecuritySpt
lrwxrwxrwx. 1 root root 25 Sep 18 03:42 /etc/rc.d/rc5.d/S97DbSecuritySpt -> /etc/init.d/DbSecuritySpt
[root@localhost ~]# cat /etc/init.d/DbSecuritySpt 
#!/bin/bash
/root/cp

好了,截止目前,坏人的位置都找到了。

哪儿来的呢?

还不知道

killall cp干掉进程

删除搜索到的那些/etc/下的相关文件

删除/root/cp

问题暂时解决。

留念

联系我们 沪ICP备13005482号-10