VIPSYN病毒,kthrotlds挖矿病毒,kthrotlds木马
描述:
病毒现象为:进程占用CPU,而且没法杀掉,即使你删除了执行文件,马上执行文件又被下载,然后进程重启!现象如下:
集成
执行文件:
知道你此时心急如焚,不想看我逼逼逼逼,先帮你把问题解决,按照下面的命令,依次删除病毒文件及进程!
#在清除病毒文件之前,请先保证病毒进程已经不在运行状态,使用下面的脚本
#/bin/bash
cd /root/
ps -ef|grep VIPSYN
#杀掉VIPSYN进程
kill -9 PID
echo ‘’> VIPSYN
#先保证执行文件不会被覆盖下载然后重新执行
chmod 400 VIPSYN
然后删除下面的那些文件:
#千万别在完全弄好之前删除VIPSYN文件,不然一些依赖的进程又会重新下载,所有源文件又都重新恢复了,你的删除操作白费了!!!!!
#删除下面文件
rm -f /etc/rc.d/rc5.d/S90dfhtgfxegw
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc3.d/S90wqjehfxbtx
rm -f /etc/rc.d/rc3.d/S90dfhtgfxegw
rm -f /etc/rc.d/rc6.d/K90wqjehfxbtx
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc2.d/S90wqjehfxbtx
rm -f /etc/rc.d/rc2.d/S90dfhtgfxegw
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc1.d/S90wqjehfxbtx
rm -f /etc/rc.d/rc1.d/S90dfhtgfxegw
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc4.d/S90dfhtgfxegw
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S99selinux
rm -rf /tmp/systemd-private-40d2d2c0be1f4abebb4dfae49a46d259-httpd.service-Tfpy1i
rm -rf /tmp/systemd-private-40d2d2c0be1f4abebb4dfae49a46d259-ntpd.service-pz27Gk
rm -rf /tmp/f9437fa77cd0f8a56e50652d2d6030ba
rm -rf /tmp/net_affinity.log setRps.log
rm -rf /tmp/hsperfdata_root
#删除下面的文件,删除病毒文件之后记得恢复正常的文件,不然你的命令就使用不了了
rm -rf /usr/bin/bsd-port/
rm -rf /usr/bin/.sshd
rm -rf /usr/sbin/ss
rm -rf /bin/ss
rm -rf /bin/netstat
rm -f /bin/uname
rm -f /etc/rc.d/init.d/ DbSecuritySpt dfhtgfxegw selinux wqjehfxbtx
rm -f /sbin/agetty
rm -f /root/ conf.n VIPSYN
#我在这次病毒查杀中,没有看到定时任务,如果变种的相关病毒使用定时任务,请自行删除,还有,开机自启动的那些异常的服务也要删除,当然,执行文件删除了,自然也就没了;比如:DbSecuritySpt
到这里为止,问题基本上已经解决了,重启一下机器看看是否会复发1
reboot
如果没有复发,那恭喜你,问题已经处理好了,如果进程又弹出来,那你运气不太好,需要按照我下面的思路再次查一查!
排查思路:
查看自启动服务:
查看 /etc/rc.d 下面的那些那些奇奇怪怪的文件:
find /etc/rc.d/ -name S90dfhtgfxegw -or -name S90wqjehfxbtx -or -name S97DbSecuritySpt -or -name S99selinux -or -name K90wqjehfxbtx -or -name K90dfhtgfxegw
/etc/rc.d/rc5.d/S97DbSecuritySpt
/etc/rc.d/rc5.d/S99selinux
/etc/rc.d/rc5.d/S90wqjehfxbtx
/etc/rc.d/rc5.d/S90dfhtgfxegw
/etc/rc.d/rc3.d/S97DbSecuritySpt
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc3.d/S90wqjehfxbtx
/etc/rc.d/rc3.d/S90dfhtgfxegw
/etc/rc.d/rc6.d/K90dfhtgfxegw
/etc/rc.d/rc6.d/K90wqjehfxbtx
/etc/rc.d/rc2.d/S97DbSecuritySpt
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc2.d/S90wqjehfxbtx
/etc/rc.d/rc2.d/S90dfhtgfxegw
/etc/rc.d/rc1.d/S97DbSecuritySpt
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc1.d/S90wqjehfxbtx
/etc/rc.d/rc1.d/S90dfhtgfxegw
/etc/rc.d/rc0.d/K90dfhtgfxegw
/etc/rc.d/rc0.d/K90wqjehfxbtx
/etc/rc.d/rc4.d/S97DbSecuritySpt
/etc/rc.d/rc4.d/S99selinux
/etc/rc.d/rc4.d/S90wqjehfxbtx
/etc/rc.d/rc4.d/S90dfhtgfxegw
删掉他们:
find /etc/rc.d/ -name S90dfhtgfxegw -or -name S90wqjehfxbtx -or -name S97DbSecuritySpt -or -name S99selinux -or -name K90wqjehfxbtx -or -name K90dfhtgfxegw -exec rm -f {} \;
还有下面这个geety进程:
总结:
这个病毒并没有定时任务,但是有自启动服务,在不重启的情况下,如果你不能快速的找出病毒的源文件删除,或者一次性查杀所有病毒进程,那你将陷入反反复复的删除文件,病毒文件与进程被恢复了,删除文件,然后又被恢复,直到你看到我的帖子!
附录:
https://blog.csdn.net/qq_31457413/article/details/99627496
http://www.ttlsa.com/safe/linux-antivirus-action/
https://www.secpulse.com/archives/78371.html
http://www.doc88.com/p-3864971159002.html
https://www.jianshu.com/p/9f24ade3f462
https://www.anquanke.com/post/id/172111
https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool/blob/master/clear_kthrotlds.sh
