使用前一定先创建快照备份,否则不要使用本文方法。
1、将ECS断开网络连接
使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。
2、shell以root的权限运行
核心的点:将系统内部非正常的系统文件,杀掉进程;删除文件,删除注册表,删除计划任务,禁止/停止/删除服务。
下述脚本只做参考:
复制下述内容,放到Linux系统中,新建一个.sh文件保存。使用root权限进行运行。
木马病毒的文件名、服务名都有可能会发生变化;脚本只是辅助。
主要是使用busybox来执行指令,因为该命令不会调用动态链接库,不回被劫持。busybox的具体介绍
service crond stop
busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libioset.so
chattr -i /etc/ld.so.preload
busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libioset.so
# 清理异常进程
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9
busybox rm -f /tmp/watchdogs
busybox rm -f /etc/cron.d/tomcat
busybox rm -f /etc/cron.d/root
busybox rm -f /var/spool/cron/root
busybox rm -f /var/spool/cron/crontabs/root
busybox rm -f /etc/rc.d/init.d/watchdogs
busybox rm -f /usr/sbin/watchdogs
ldconfig
# 再次清理异常进程
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9
# 清理开机启动项
chkconfig watchdogs off
chkconfig –del watchdogs
service crond start
echo "Done, Please reboot!"计划任务文件处理
/etc/crontab
/etc/cron.d/
/var/spool/cron/
/var/spool/cron/crontabs/
/etc/cron.hourly
/etc/cron.daily
/etc/cron.weekly
/etc/cron.monthly
/var/spool/cron/crontabs/root
这里面有没有异常的计划任务,如有者进行清理3、Redis业务特殊处理
如无业务必要,修改Redis只监听127.0.0.1,并为Redis设置认证密码。编辑Redis配置文件/etc/redis.conf以下行保存后使用service redis restart重启Redis服务:
bind 127.0.0.1 #配置只监听本地回环地址127.0.0.1
requirepass xxx #去掉行前注释,修改密码为所需的密码。
4、登录密钥处理
不影响业务的情况下,建议临时删除机器上.ssh/known_hosts和登录密钥文件。(蠕虫常常利用这个进行关联传播,会在短时间内扩散到所有内网机器)
附录
常见问题处理