今天服務器被人毒 cpu居高不下 一看進程 java 經過分析是被改名成java在啓動的 所以進程名也不可信
幹掉計劃任務中的計劃 刪除病毒目錄但是刪除時提示我沒有權限 我可是root用戶啊。。。
詢問度娘得知 是要刪除的文件有檔案屬性 所以不能刪除 據說/ /var /tmp等目錄不能加 我也沒試不知道是不是真的
所以只需刪除該文件的檔案屬性既可正常刪除 當按屬性 即文件上有a 和 i屬性
[root@xxx .syn64]# rm java -f -r
rm: cannot remove ‘java/java’: Operation not permitted
#通過查看root是有權限刪除的
[root@xxx .syn64]# ll
total 5060
drwxr-xr-x 2 root root 18 4月 2 09:45 java
#java/java 有 i和a 屬性
[root@xxx .syn64]# lsattr java
----ia---------- java/java
#幹掉i和a屬性
[root@xxx .syn64]# chattr -i java/java
[root@xxx .syn64]# chattr -a java/java
[root@xxx .syn64]# lsattr java/java
---------------- java/java
[root@xxx .syn64]# rm java -r -f
如果還有其他屬性導致刪除不了 幹掉屬性既可
上面是沒有權限 如果這個文件被打開了 也刪除不了 這時可以獲取打開文件的pid幹掉 在刪除既可以
lsof java/java 或 lsof -D java/java
kill -9 $Pid 讓進程被幹掉前沒法收到信號來幹別的事
有了病毒文件備份幹掉後想分析分析是怎麼做的
查看文件頭得知是用什麼語言寫的 在反編譯獲得源碼
獲取文件頭信息
通過vim 的:%!xxd命令查看文件的16禁止獲取文件頭
0000000: 7f45 4c46 0201 0100 0000 0000 0000 0000 .ELF............
得知爲elf文件 應該是用c或c++寫的 至於怎麼反編譯c或c++就不知道了
有大佬知道的話可以告訴下