文章描述了一种Linux系统中遇到的问题,包括CPU使用率过高、ps进程异常和netstat命令异常。作者通过系统调用跟踪发现异常的so文件,并察觉到病毒已篡改动态库ld.so.preload来隐藏自身。由于常规命令无法访问或删除该文件,作者利用busybox进行处理,成功查看并清理了病毒文件。之后,文章提供了一个扫毒脚本来查找和处理其他潜在的病毒感染。
现象:
1. CPU使用率超高
2. ps进程出现异常
3. 可能伴随netstat命令异常
定位过程:
通过ps和htop等linux命令,未发现有异常进程。通过跟踪系统调用,发现加载了一些异常的so文件,其中第一个加载的是:/etc/ld.so.preload
通过使用命令:ls /etc/ld.so.preload试图查看该文件信息,报错文件不存在,但是使用mkdir /etc/ld.so.preload,结果报错文件存在,至此,可以确定病毒动了动态库,隐藏了自己。然而,使用rm、mv等系统命令,根本无法访问或移除ld.so.preload;编写c,直接open这个文件,fd返回-1,也就是文件不存在;此时,需要请出我们的工具:busybox。
busybox使用请自行百度。
解压后先编译:make menuconfig
打开静态编译选项:
这时候make后续可能会报错,需要装一下静态库: yum -y install glibc-static
编译完成后,busybox目录下会有一个busybox的二进制,执行:
./busybox ls /etc/ld.so.preload 可以正常查看该so文件。清理病毒的so文件后,环境可以正常查看,此时,可以开始扫毒。
扫毒方式:cd /;for i in `ls `;do find ./$i -name ".[a-z]";done,注意,后续发现的病毒中,隐藏目录也有数字和字母的组合,修改上述命令中的通配符即可。病毒会在多个目录下建立隐藏目录。其中:proxy为传染源;oracle和mysql为病毒隐藏工具;把ps进程重命名了。
部分系统可能需要重新安装netstat。
扫一扫
858
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
