记录一次 LINUX 病毒处理

1、查找文件修改(新增的二进制文件)

cd /bin
find . -name ‘*’ -mtime 0 -ls -type f

找到时间在 20201016 07:48前后一个小时的文件

2、查找调用的脚本
cd /etc/
find . -name ‘*’ -mtime 0 -ls -type f
查找这个里面修改的文件

如果是脚本,检查脚本内容是不是被修改了,修改的了会是执行一个文件

找到文件的路径
mv文件到/opt/badfile

注意,汇总所有机器的结构,相互检查文件

病毒的方式就是
修改crontab 定期执行
修改启动脚本或者systemd脚本,让开机或者定期执行

处理完成后重启机器,监控crontab执行的脚本

后期观察