一次centos7.3系统中病毒排查经历

最新推荐文章于 2025-06-17 16:54:06 发布
原创 最新推荐文章于 2025-06-17 16:54:06 发布 · 9.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文记录了一次在CentOS7.3环境中遭遇病毒的情况,描述了如何发现并处理病毒进程的过程。病毒通过替换系统命令ps进行隐藏,并高占用CPU资源。通过分析,确认病毒为perl脚本,从/tmp目录执行并与远程IP通信。最终通过重启安装ps rpm包,杀掉相关进程,恢复正常。该事件提醒我们重视系统安全,尤其是密码管理和SSH密钥登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      一个环境,突然使用很卡顿,于是用top查看什么进程占用了资源,发现进程中有大量b开头的进程,基本确定系统是中病毒了。

如上图,top显示大量b开头进程,进程号还不停的变。快速用lsof -p <PID>,查看一个病毒进程,结果如下

lsof的输出来看,病毒进程程序体被删除了。尝试用rm去删除程序体也显示无文件。

于是用ps命令查看进程情况,竟然发现无法列出病毒进程

ps命令无法列出进程名,十有八九ps命令的文件被替换了,好多病毒有这方面的套路,于是重启安装ps的rpm包,恢复ps命令。重新安装ps的rpm包后,ps命令的md5值确实不一样了,基本可以断定ps命令被替换了。

最低0.47元/天 解锁文章

200万优质内容无限畅学
运维Enter
关注
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 1336
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
linux ssh7.4 升级至9.5(安全扫描漏洞处理)
cc123489ll的博客
05-22 994
ssh -V点击进行下载点击进行下载点击[telnet-server-0.17-66.el7.x86_64.rpm “telnet-server-0.17-66.el7.x86_64.rpm”)进行下载。
Centos7病毒排查[tsm][kswapd0]
weixin_45552912的博客
02-24 538
看一下主机的资源使用情况 先按照腾讯云文档给的建议走走 腾讯云文档url:https://cloud.tencent.com/document/product/296/9604 == last 命令无异常 less /var/log/secure|grep ‘Accepted’ 查了一个ip,为美国的 看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧 找找病毒在哪里 netstat -ntlp 貌似没啥问题呢 netstat -antlp 7. 在这里看到了..
linux服务器Centos7病毒记录
on the way . . .
03-23 2994
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次,记录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
CentOS查日志
最新发布
weixin_46060074的博客
06-17 532
CentOS 系统中,查看日志是系统维护和故障排查的重要技能。
centos7 安装clamav 进行病毒扫描查杀
热门推荐
夏冬丶王阳旭
05-03 2万+
linux系统常作为服务器系统,已安全著称,但是随着市场占有量的增大,慢慢的linux病毒也还是增多,而对于病毒,一般都是管理员手动分析进行查杀,除了手动分析查杀病毒外,还可以借助杀毒软件进行查杀,就像windows都有杀毒软件一样,liunx的杀毒软件也是有的,但基本上都是开源的小工具,由于本身linux服务器的病毒就较少,且相对windows更难以入侵,所以专门的Linux杀毒软件较少,专门研
一次Linux Centos7病毒清理
-满心欢喜-的博客
08-10 1753
一次在工作中测试环境下中病毒的处理解决办法
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 8319
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
等级保护测评策略建议整改措施
11-08 9525
主机安全 服务器windows 身份鉴别 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 整改方法: 修改配置策略:1、查看控制面板—管理工具—本地安全策略—账户策略—密码策略;2、查看控制面板—管理工具—计算机管理—系统工具—本地用户和组—用户—右键—属性—是否勾选“密码永不过期”。建议修改值:(一)策略...
centos病毒
weixin_30872157的博客
11-06 241
嗯 很开中了病毒,,,而且这是第二次了.... 然后大佬说让我crontab -l 一下 然后试了下 然后出来这个东东 执行下crontab -r 这个 然后就crontab -l 就没了 然后访问下网址: 啊 然后出了这些东西 不知道是什么鬼 不管了先删掉这些东西 find / -name qW3xT.4 ...
centos7安装clamAV进行病毒扫描查杀
chongyong1004的博客
12-07 2302
centos7安装clamAV进行病毒扫描查杀 ClamAV简介 随着linux服务器在市场上的占用率的飙升,正对linux系统病毒也开始增加了,所以,我们还是使用更为专业的杀毒软件,这里选择开源的ClamAV 杀毒软件。 PS: 在网上的文档,总是各种步骤一大堆,又要改配置这的那的,其实...
centos服务器中毒
qq_42296835的博客
06-13 468
查看该目录下的 01、11、22内容可以看到几个数字,01文件存放病毒守护进程pid、11文件存放病毒运行进程pid、22为一个空文件,功能暂时不清楚。CPU占用一直比较高,初步分析是挖矿程序。查看系统的crontab –l显示调度列表如下。此外,病毒还会在后台设置守护进程,查看方式。使用bash64解密后内容。
centos系统中了一次毒(哇咔咔)DoS:Linux/Xorddos!rfn
weixin_33921089的博客
10-19 518
昨晚朋友说服务器中毒了,他说明天重新安装一下系统,我说别安装的,咱们看一下把,就有了这次的记录中毒的博客, 因为是事后记录的,有的没有图了,只能写出来了。DoS:Linux/Xorddos!rfn:特洛伊***拒绝服务 连接服务后我直接ll`whichtop`看看大小和别的机器比较下看看有没有让人修改 我执行top是能看到的有...
检测centos服务器上的病毒或webshell感染文件的轻量化工具
ljk15036029526的博客
11-10 509
chkrootkit webshellkiller。
简单几个命令查看是否中毒
weixin_33971977的博客
07-07 551
当你感觉自己的系统病毒了,第一反应就是请出杀毒软件猛查一遍。如果想快速判定当前系统的安全状况,我们可以通过“命令提示符”中的几个命令来检测系统是否中毒,其速度远远超过用杀毒软件来确认。   小提示:常见的中病毒现象表现为:系统变得缓慢、账号被盗、打开网页需要等半天、不断弹出广告窗口、文件不能执行等,部分强势病毒会让你的杀毒软件和安全软件失效。当你遇到以上现象时,首要任务是...
一次centos云主机遇到挖矿病毒
weixin_47461688的博客
08-15 196
随后也没想太多,直接kill掉进程,结果进程还真被杀掉了。重新登陆机器,看了一下进程发现刚刚杀掉的进程又出现了。把定时任务删掉,也重新把进程给删掉了,本来以为这波稳了,但是!过了一会挖矿进程又有了,定时任务也被还原了!果然看到了一个奇怪的定时任务,随后正想把这个定时任务删掉,md发现root用户下居然也改不了。冷静下来以后,看了刚刚定时任务里的那个脚本,发现原来是用chattr命令把文件锁住了。今天出奇的收到云上的负载告警,然后登陆服务器一看,发现有一个莫名的进程在执行。重新再将进程杀掉,木马文件删除。
CentOS中kdevtmpfsi病毒
jinglinggg的专栏
12-06 1453
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!
Centos系统中毒(sfewfesfs)处理过程记录
weixin_34163553的博客
10-17 442
Centos系统中毒(sfewfesfs)处理过程记录 2014年10月16日今天是我的班,正好在我接班的时候出现了一个我从未遇到过的问题那就是服务器中毒了在不停的向外发包,这个服务器是我们的云平台manager。它的中毒不仅影响了自己本身的云主机而且影响到了整个平台,作为一个运维人员的我一...
centos服务器中病毒dealer sshc tutu
weixin_42502379的博客
09-12 1098
dealer sshc tutu centos 服务器病毒处理过程
VMware Workstation中图解安装CentOS 7.3教程
教程中提到的关键点包括选择自定义安装方式、选取稍后安装操作系统、选定Linux作为客户机操作系统并选择CentOS 64位版本、设置虚拟机名称和位置、配置处理器和内存资源、选择网络连接类型(此处选择了桥接网络),...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值