家政网站建设,经销商自己做网站,西安百度,中国十大品牌网站服务器挖矿病毒解决ponscan#xff0c;定时任务解决 挖矿病毒会隐藏chattr的操作权限#xff0c;让我们无法删除病毒文件#xff0c;杀掉病毒进程。所以要去下载chattr.c的文件#xff0c;编译成a.out。然后再对原来的chattr文件的权限进行修改。然后覆盖掉它。
chattr.c …服务器挖矿病毒解决ponscan定时任务解决 挖矿病毒会隐藏chattr的操作权限让我们无法删除病毒文件杀掉病毒进程。所以要去下载chattr.c的文件编译成a.out。然后再对原来的chattr文件的权限进行修改。然后覆盖掉它。
chattr.c
放到任意非root目录下然后编译 cc chattr.c mv a.out /usr/chattr 使用新的chattr文件修改被锁住的chattr。去除特殊属性 -i cd /usr ./chattr -i /usr/bin/chattr 然后给新的chattr赋权限,并复制过去替代锁住的 mv chattr ./bin/chattr 查看修改后的属性只要没有-i -a就行了 lsattr /usr/bin/chattr 安装需要的命令工具 yum install e2fsprogs 清除ssh登录公钥 cd root ls cd .ssh # 查看公钥文件的权限属性 lsattr authorized_keys 去掉 -ia两个属性 chattr -ia authorized_keys chattr -e authorized_keys # 删除里面的信息 vim authorized_keys 删除病毒文件本体 whereis pnscan rm -f /usr/local/bin/pnscan chattr -iea /usr/local/lib/pnscan.so whereis crypto rm -f /usr/local/lib/pnscan.so 杀掉病毒进程恢复kill命令的权限 whereis kill lsattr /usr/bin/kill chattr -ia /usr/bin/kill 如果病毒进程被隐藏可以使用更多进程查看软件比如 yum install -y atop yum install -y htop top 杀死病毒进程 kill - 9 检查一下有没有定时任务 crontab -l crontab -e 进入删除 删除crontab -e 中的内容但是发现无法删除 [rootserver1 nps]# crontab -e
crontab: installing new crontab
crontab: error renaming /var/spool/cron/#tmp.XXXXGFRvjK to /var/spool/cron/root
rename: Operation not permitted
crontab: edits left in /tmp/crontab.Bw1XGv进入到/var/spool/cron目录查看文件权限发现被加了保护使用lsattr去除再编辑删除内容即可 lsattr /var/spool/cron/ #查看文件权限
chattr -a /var/spool/cron/root #修改权限/var/spool/cron/root权限取消root文件的a属性
或
lsattr ./root
chattr -ia ./rootcrontab -e成功 crontab: installing new crontab
crontab -e进行编辑crontab -l 即可查看添加的定时任务信息 禁用crontab service crond stop
mv /var/spool/cron /var/spool/cron_is_disabledchattr 命令的一般用法和常见选项 chattr [选项] 属性文件 -R递归处理修改目录及其下所有内容的属性。-V详细模式显示命令执行过程。添加属性。-删除属性。
将文件设置为不可修改只添加 chattr a filename 取消文件的不可修改属性 chattr -a filename 将目录及其下所有内容设置为不可修改 chattr -R i directory 查看文件或目录的属性 lsattr filename a设置追加属性只能向文件末尾添加内容不能修改和删除已有内容。i设置不可变属性文件不能被删除、改名、修改或链接。d设置删除属性删除文件时只是清除文件的内容而不是删除文件本身。u设置撤销属性如果文件被删除数据内容仍然可以恢复。e: 属性表示设置文件为不可压缩immutable即禁止对文件进行压缩或修改。当文件具有 e 属性时将无法对其进行写入或修改操作包括不能删除或重命名该文件。这可以增加文件的安全性防止意外或恶意更改或删除。 lsattr [选项] [文件路径] -a显示所有文件包括以 . 开头的文件默认不显示以 . 开头的文件。-d如果参数是一个目录则显示目录本身的属性而不是目录中的文件。-R递归显示目录及其子目录下的文件属性。-v详细模式显示更多属性信息。
显示文件的扩展属性 lsattr filename 显示目录的扩展属性 lsattr dirname 递归显示目录及其子目录下所有文件的扩展属性 lsattr -R dirname 的属性而不是目录中的文件。
-R递归显示目录及其子目录下的文件属性。-v详细模式显示更多属性信息。
显示文件的扩展属性 lsattr filename 显示目录的扩展属性 lsattr dirname 递归显示目录及其子目录下所有文件的扩展属性 lsattr -R dirname 常见的扩展属性包括 i不可修改、a只能追加、e不可压缩等每个属性都代表了文件或目录的特定限制或行为。lsattr 命令可以帮助管理员或用户查看文件的这些特殊属性以了解文件的状态和行为限制。
