先是发现linux常见命令wget,curl不见了,以为是误操作没了,发现历史命令都没了,就很不正常,但是top也没见有啥高消耗进程,就没在意,,yum安装命令时竟然显示安装了,rpm
-qa 截取查看命令也在,神奇啊
但是就yum下载时显示域名解析失败,修改resove文件权限拒绝!!我就懵逼,查看隐藏权限后发现有i和额,使用chattr去除时显示权限不够!!!这人牛皮了,把命令执行权限去掉了,chmod加上继续执行
继续yum安装curl,但是还是安装不了,显示有yum进程在运行,,就有点懵逼,ps看了下yum程序,发现有一个在安装unhied,很明显不是我的
正思考时突然弹出一条有邮件信息,然后不自觉的就看了下计划任务,有一条我没见过的
然后查看这个newinit.sh,里面可大有学问哈,也找到了我命令能查到不能使用的原因了
瞬间就感觉这人有点笨,你cp不好吗,非得mv
继续查看找到一ip:195.58.39.46
石锤被搞了,这就是真实ip没cdn
那接下来直接上才艺,这必定又一个自启功能和守护进程
理论上杀掉进程就ok
kill -9 ps -ef | grep newinit | grep -v grep |awk '{print $2}'
然后就是计划任务:
crontab -e进去删掉后再看竟然还在里面,卧c
又是宝贝,解除保护并清空
到此就危机解除,至于这个被上传的脚本有啥功能还需研究下,
这个newinit.sh我已经上传至资源供大家免费研究下载
-----------------------------------------------------------
后续:由于这病毒太顽固,改的东西太多,还是重装得了