挖矿木马work32

一般通过机器非正常卡顿状态以及root用户最近次登录失败时间和次数来判断是否有被持续爆破的现象和风险，处理方法同昨天；

cat /var/log/secure|grep Failed|awk '{print $(NF-3)}'|sort|uniq –c    #查看有没有爆破记录

使用busybox检测是否存在木马病毒，并按下方方式进行处理：

处理方法：

/root/busybox chattr -i /lib/libcurl.so.2.17.0 ;/root/busybox mv /lib/libcurl.so.2.17.0 /tmp/libcurl.so.2.17.0.old
/root/busybox chattr -i /etc/ld.so.preload ;/root/busybox mv /etc/ld.so.preload /tmp/a.txt
#查找程序：
ps -aux|grep -E "bioset|kthreadd"                     
#(/usr/bin/bioset是病毒程序)
#杀掉程序：
/root/busybox kill -9 
chattr -i /usr/bin/kthreadd /usr/bin/bioset /root/.ssh/authorized_keys
rm  /usr/bin/kthreadd  /usr/bin/bioset  /root/.ssh/authorized_keys
rm –rf /usr/bin/top /sbin/top

清理后即可把被锁文件和程序恢复

需要一并清理/etc/resolve.conf内容，被感染文件表现如下

查看是否被锁

./busybox lsattr /etc/resolv.conf

被锁则解锁

./busybox chattr –I /etc/resolv.conf