本文详细介绍了在Linux系统中遇到的longbak恶意进程问题及其处理方法。该恶意进程会在用户登录后自动创建并持续消耗CPU资源,通过crontab进行自我保护,难以直接删除。文章提供了包括断网、修改crontab、限制CPU使用等在内的解决步骤。
linux恶意进程longbak处理
20191218发现问题
1、任意用户登录后,会自动创建进程.2longbak,且不断吃掉cpu资源。
2、杀掉后,登录还有,发现是做了crontab,且无法修改。
3、无法删除/usr/bin/longba程序,拷贝新chattr,更改属性删除/usr/bin/longbak后,几秒后立刻又出现。
4、发现有栈溢出提权程序。
目前的解决办法
1、最好立刻拔掉网线,断掉网络。次一点是在hosts.allow和hosts.deny 里面做ssh登录限制。
2、拷贝正常的chattr到被感染机,除掉被感染的crontab,做上定时查杀的crontab.发现ps命令不可用,拷贝正常的ps,删除被替换的ps。
3、不删除/usr/bin/longbak和/usr/bin/.2longbak,将其属性改为可写后,echo > /usr/bin/longbak和echo > /usr/bin/.2longbak将其失效,然后改回属性为不可写。
4、编辑/etc/security/limits.conf,做上cpu限制。
longbak hard core 1
5、验证。解决
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
