Project

General

Profile

Linux中毒解决方案 - 挖矿木马 wlvly

Added by 范 益波 over 1 year ago

原文:菜鸟硬杠挖矿木马“rvlss”,“bffbe”,“wlvly”
https://blog.csdn.net/weixin_42097690/article/details/105354736

解决思路

#首先利用htop,将占用最高的6位随机码进程f9然后回车 kill掉。
#清理.ssh 文件夹,删除所有的免密登录

#第二步键入命令,然后清除不明的定时执行,例如下面三项:
# * * * * /root/.bffbe > /dev/null 2>&1 &
#* * * * /root/.wlvly.sh > /dev/null 2>&1 &
#* * * * /root/.rvlss.sh > /dev/null 2>&1 &
crontab -e  

#第三步,同样清楚定时执行,(文件形式)
rm -rf /etc/cron.d/0rvlss 
rm -rf /etc/cron.d/0bffbe
rm -rf /etc/cron.d/0wlvly

#尝试停掉,定时执行的目录写入权限,这个不清楚有没有效果
#本人因为时间原因还没有详细了解定时执行的逻辑
chmod -R 400 /etc/cron.d
#ls /etc/cron.d

#删除生成的脚本文件
#ps:上面代码执行有一段需要从网络上下载脚本,在删除下载脚本的时候,提示无权限, 后来查到隐藏属性

# 查看隐藏属性的命令
 lsattr  .rvlss

#清理隐藏属性,并删除脚本(三个,服务器可能中的是其中的一种)
chattr -i /root/*.rvlss*  
rm -rf /root/*.rvlss*
chattr -i /opt/*rvlss*
rm -rf /opt/*rvlss*

 chattr -i /root/*bffbe*
rm -rf /root/*bffbe*
chattr -i /opt/*bffbe*
rm -rf /opt/*bffbe*

 chattr -i /root/*wlvly*
rm -rf /root/*wlvly*
chattr -i /opt/*wlvly*
rm -rf /opt/*wlvly*

#脚本在感染宿主机后,会从网络上下载脚本,且,挖矿要连接矿池
#所以此处屏蔽了脚本中所有的域名
#事实证明,这一步其实是起着关键的作用,如果从网络入口进行屏蔽,效果显著。(此处是主机上脚本)
echo 0.0.0.0 tor2web.io tor2web.in tor2web.to tor2socks.in d2web.org onion.mn onion.to  >> /etc/hosts
echo 0.0.0.0 onion.glass onion.in.net onion.ly onion.pet onion.ws 4tor.ml civiclink.network  >> /etc/hosts
echo 0.0.0.0 tor2web.su doh.centraleu.pi-dns.com dns.twnic.tw dns.rubyfish.cn doh.dns.sb trumpzwlvlyrvlss.onion >>/etc/hosts

#脚本有检测hosts屏蔽的功能, 在下一步未执行的时候
#三项其中的两项会被病毒删掉。(侧面证明网络屏蔽域名确实有效)
#所以才有下一步的操作,需要ps -aux 查询所有的进程
#删掉5-6位随机码的一异常进程,此步操作至关重要,解决了大8成的服务器病毒重启。

#剩下的两成,因本人学艺不精,仍然存在问题,后来删掉dns服务器地址解决,临时方法

————————————————
版权声明:本文为CSDN博主「一只蛋黄」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_42097690/java/article/details/105354736

Replies (1)

RE: Linux中毒解决方案 - 挖矿木马 wlvly - Added by 范 益波 over 1 year ago

/root/.wlvly.sh 无法删除

原文:linux root用户无法删除文件,提示permission denied
https://www.cnblogs.com/youxin/p/11100449.html

解决方案:

chattr -i filename
rm -rf filename

我用root用户登录,删除一个普通的文件,怎么删也删不了。最后用lsattr命令查看,原来是被保护了。lsattr查看一个文件 

1. chattr权限简介
chattr - change file attributes on a Linux file system.

也就是说chattr命令的作用是改变linux文件系统中指定的文件的属性。

chatrr权限是一种非常特殊的权限,它设置的属性对超级用户root也有效。只不过,它设置的属性也可以通过root来删除。

归根结底,chattr的作用是防止用户(包括root)对文件或目录进行误操作(比如修改或删除)的一种保险手段。

2. chattr命令格式
chattr [+-=][选项] 文件或目录名

+:增加权限(属性)

-:删除权限(属性)

=:设置权限(属性)
1
 a :设置a之后,这个文件将只能增加数据,而不能删除也不能修改数据,只有root才能设置这个属性。

  i :它可以让一个文件不能被删除、改名,设置连接也无法写入或添加数据。只有root才能设置这个属性。

问题,已经去掉了某个文件的i属性和a属性,为什么还是不能删除???

原因在于该文件的所在目录的属性也要去掉。

如果去掉文件或目录的隐藏属性之后还是不能删除,那么查看父目录是否配置了不可删除的隐藏属性,若父目录有配置,文件也是不能删除的,需要逐级往上查看。

查看文件的系统属性
命令格式:lsattr [选项] 文件名

[root@localhost tmp]# lsattr a.txt

----i--------e- a.txt

可以发现,小写字母i表示该文件被设置了i属性 

如果您想给一个文件多加点保护,可以使用命令:chattr +i filename
    (1-1/1)