记一次十字符病毒 libudev.so

 运维  病毒  木马   2018-02-01 12:14   评论0次 

    同事发现一台CentOS7.4系统上CPU异常的高,以为挖矿,遂登录查看,top下发现一个进程百分百多,简单kill随后又生成,并且有个特点,进程名称全部是十个字符组成,它会监听自身并重新启动。

    根据处理挖矿木马的经验,查看crontab相关,发现/etc/crontab写了两个定时任务(这个文件正常人应该是不会写入的),奇中一个定时任务是执行/etc/cron.hourly/gcc.sh这个脚本,搜索gcc.sh关键字,发现很多遇到的,名叫“十字符病毒”,脚本内容大概是这样:

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

    其原罪就是libudev.so这个了,结合查询的资料,处理如下:

10

    也有人整理成了脚本(用法:通过top命令找到病毒的进程名,赋给变量”VIRUS_P“,然后执行这个shell就可以了),如下:

VIRUS_P=njafjgycsl
 
#暂停病毒进程
kill -stop `pgrep $VIRUS_P`
 
rm -f /usr/bin/$VIRUS_P
 
#/etc/cron.hourly/gcc.sh
find /etc/cron* -name "gcc.sh" -exec rm {} \;
 
find /etc/init.d/ -name "*$VIRUS_P*" -exec rm {} \;
 
find /etc/rc* -name "*$VIRUS_P*" -exec rm {} \;
 
pkill $VIRUS_P
 
rm -f /lib/libudev.so /lib/libudev.so.6


参考:

1. Linux 10字符串命令病毒的处理记录

2. libudev.so病毒清理shell脚本

点赞 打赏
取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦