njmaojing
113 天前
难为楼主了,不过上面光 kill 还不行,需要进一步排查病毒文件源,他有可能还会通过 cron 再启动,以下是我个人排查笔记可参考。
# 检查登录信息
last -n 30
# 检查 ssh 失败记录
grep -ri "ail" /var/log/secure* | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'| sort -n | uniq | awk '{printf"%s ",$1}'
# 检查 ldconfig
cat /etc/ld.so.conf
ls /etc/ld.so.preload
# 检查命令有没有被劫持,隐藏进程
which ps bash top netstat sshd lsof find|xargs ldd
## 样例输出
ldd /usr/bin/bash
linux-vdso.so.1 (0x00007ffcd03e8000)
/home/lang/Desktop/pidhidden.o (0x00007f87ab4d5000) //恶意插入的动态链接库
libprocps.so.7 => /usr/lib/libprocps.so.7 (0x00007f87ab27b000)
libc.so.6 => /usr/lib/libc.so.6 (0x00007f87ab0b7000)
libdl.so.2 => /usr/lib/libdl.so.2 (0x00007f87ab0b2000)
libsystemd.so.0 => /usr/lib/libsystemd.so.0 (0x00007f87ab026000)
/lib64/ld-linux-x86-64.so.2 => /usr/lib64/ld-linux-x86-64.so.2 (0x00007f87ab71d000)
libpthread.so.0 => /usr/lib/libpthread.so.0 (0x00007f87ab005000)
librt.so.1 => /usr/lib/librt.so.1 (0x00007f87aaff9000)
liblzma.so.5 => /usr/lib/liblzma.so.5 (0x00007f87aadd3000)
liblz4.so.1 => /usr/lib/liblz4.so.1 (0x00007f87aadb4000)
libgcrypt.so.20 => /usr/lib/libgcrypt.so.20 (0x00007f87aac95000)
libgpg-error.so.0 => /usr/lib/libgpg-error.so.0 (0x00007f87aaa75000)
## 如果有异常可以执行 strace -f ps 查看一下执行过程
# 检查进程,流量等
sar -n DEV 3 1 | grep -vE '^$'
# 检查定时任务
crontab -l
cat /etc/crontab
ls /etc/cron*
# 检查 xinetd
ls /etc/xinetd.d/
# 进程隐藏排查
google 搜 hook 关键词
# 检查开机自启动服务
# 使用 claimav 等工具查杀
建议 OP 部署终端防护软件,WAF ,做好备份,此外看描述是不是 nacos 的安全漏洞? nacos 漏洞挺多的,记得及时修复。
8848 端口非必要不要直接挂公网。