您的位置:360文档中心› 蠕虫病毒清理步骤

蠕虫病毒清理步骤

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

关于研究jboss蠕虫病毒感染清理步骤

现象:

1./tmp目录下有许多sess_XXXXXXX的文件,数量众多

2.查看进程发现有大量名为pnscan的进程

cat /var/log/cron |more

5.使用netstat –antp 查看那些可疑进程在进行什么样的网络连接

6.使用find / -name pnscan* 查找到这个进程位置

7.找到可疑进程所在目录ls –lash 查看详细的文件时间大小

8.使用ps –ef |grep pnscan |wc –l 可观察pnscan占用进程数

清理过程:

1.结束病毒的进程,或病毒依靠的服务或进程

Test:/usr/bin # killall -9 perl

Test:/usr/bin # killall -9 pnscan

另一种方式

ps -efl|grep perl |awk '{print $4}'|xargs -ti kill -9 {} \ 回车

ps -efl|grep pnscan |awk '{print $4}'|xargs -ti kill -9 {} \ 回车

2.把可疑文件删除掉

Test:/tmp # rm -fr /tmp/sess_*

3.把wget卸载掉

rpm –e wget

4.把目录下的多余文件删除掉

Test:/tmp # rm -fr /tmp/sess_*

-bash: /bin/rm: Argument list too long

若出现以上提示改用以下的命令删除

ls |xargs -n 10 rm -fr ls sess*

另类病毒感染清理步骤

近期发现另一种中毒情况:进程里有许多wget /Curl/sendmail的动作,而且还删除进程无效。

[root@NX-app2 ~]# ps -ef

UID PID PPID C STIME TTY TIME CMD

root 1 0 0 Jan18 ? 00:59:52 init [5]

root 2 1 0 Jan18 ? 00:01:51 [migration/0]

root 3 1 0 Jan18 ? 00:00:14 [ksoftirqd/0]

root 4 1 0 Jan18 ? 00:00:00 [watchdog/0]

root 5 1 0 Jan18 ? 00:00:29 [migration/1]

root 300 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 302 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 304 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 306 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 308 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 310 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 312 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 314 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 316 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 318 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 320 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 322 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 324 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 326 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 328 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 330 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 332 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 334 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 336 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 338 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 340 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 342 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 344 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 346 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war root 348 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 350 1 0 09:53 ? 00:00:00 curl /israelis.against.the.war root 352 1 0 09:53 ? 00:00:00 wget /israelis.against.the.war

[root@NX-app2 /]# ps -efl|grep curl |awk '{print $4}'|xargs -ti kill -9 {} \

>

kill -9 303

kill -9 305

kill -9 306

kill -9 307

kill -9 309

kill -9 310

kill -9 318

kill -9 319

kill -9 320

kill -9 321

kill -9 323

kill -9 324

kill -9 331

kill -9 333

等等,均无效!同时在/root 目录下产生许多index.php.***/step.php***垃圾文件

[root@NX-app2 ~]# pwd

/root

相关文档
最新文档