腾讯云的机器发现中了 kworkerds 病毒。经过一顿调查,初步完成了处理。
结合网上其他人的遭遇,感觉这个病毒会有所进化,如果发现我这招不好用,就需要研究一下你中的病毒的脚本,它到底修改了哪些文件。然后通过 chattr -i 去掉 i 属性(这个是后来病毒才需要的,困扰了我好久,之前竟然都没听所过Linux下面还有这个属性),然后才能修改文件的只读属性。
echo '127.0.0.1 pastebin.com' >> /etc/hosts
chattr -i /etc/ld.so.preload
echo "" > /etc/ld.so.preload
chattr -i /usr/local/bin/dns
echo "" > /usr/local/bin/dns
chattr -i /etc/cron.d/root
echo "" > /etc/cron.d/root
chattr -i /etc/cron.d/apache
echo "" > /etc/cron.d/apache
chattr -i /var/spool/cron/root
echo "" > /var/spool/cron/root
chattr -i /var/spool/cron/crontabs/root
echo "" > /var/spool/cron/crontabs/root
rm -rf /etc/cron.hourly/oanacroner
rm -rf /etc/cron.daily/oanacroner
rm -rf /etc/cron.monthly/oanacroner
#rm -rf /bin/httpdns
#sed -i '$d' /etc/crontab
sed -i '$d' /etc/ld.so.preload
chattr -i /usr/local/lib/libntpd.so
rm -rf /usr/local/lib/libntpd.so
ps aux|grep kworkerds|grep -v color|awk '{print $2}'|xargs kill -9
chattr -i /tmp/thisxxs
rm -rf /tmp/thisxxs
chattr -i /tmp/kworkerds
rm -rf /tmp/kworkerds
网友评论