记一次挖矿病毒的清除

起因是在群里看到一位群友发问。



群友们正在帮助积极查找问题所在的情况

当时一看删除之后又会重新自己启动一次,这仿佛是个矿机病毒,该脚本总是去生成 /tmp/.x/-bash 脚本去执行病毒进程,再把该脚本删除,让人不能轻易发现。
这样一来,直接使用以下命令生成这个文件后,再强制赋予它不能删除、不能更改、不能移动的限制,这样病毒就不能将病毒内容输入该脚本去执行了:

$ touch -bash
$   chattr +i -bash
lsattr   -bash
----i--------e-   -bash

但是到底是哪里调用并生成了这个脚本呢?
查看/var/log/cron日志文件可以看到之前的确是通过crontab调用的,清除掉crontab后它改从/etc/cron.daily和/etc/cron.weekly以及hourly

至此,可以看到源头文件是/bin/sysdrr该定时任务脚本将该文件复制到/usr/bin/-bash,然后再执行该脚本,再rm删除脚本。把sysdrr文件删除,如果设置了不可删除权限则将该权限移除后顺利删除,并删除其他cron文件。

来源:https://bbs.andunsec.com/d/62