同事发现一台CentOS7.4系统上CPU异常的高,以为挖矿,遂登录查看,top下发现一个进程百分百多,简单kill随后又生成,并且有个特点,进程名称全部是十个字符组成,它会监听自身并重新启动。
根据处理挖矿木马的经验,查看crontab相关,发现/etc/crontab写了两个定时任务(这个文件正常人应该是不会写入的),奇中一个定时任务是执行/etc/cron.hourly/gcc.sh这个脚本,搜索gcc.sh关键字,发现很多遇到的,名叫“十字符病毒”,脚本内容大概是这样:
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
其原罪就是libudev.so这个了,结合查询的资料,处理如下:
也有人整理成了脚本(用法:通过top命令找到病毒的进程名,赋给变量”VIRUS_P“,然后执行这个shell就可以了),如下:
VIRUS_P=njafjgycsl
#暂停病毒进程
kill -stop `pgrep $VIRUS_P`
rm -f /usr/bin/$VIRUS_P
#/etc/cron.hourly/gcc.sh
find /etc/cron* -name "gcc.sh" -exec rm {} \;
find /etc/init.d/ -name "*$VIRUS_P*" -exec rm {} \;
find /etc/rc* -name "*$VIRUS_P*" -exec rm {} \;
pkill $VIRUS_P
rm -f /lib/libudev.so /lib/libudev.so.6
参考: