十字符病毒，杀不死的小强：一次云服务器沦陷实录

注意，这里-STOP选项的含义，不是关闭这个进程，而是停止这个进程。进程停止执行后，进程仍然存在，这样就绕过了病毒进程就监测。紧接着，再来点硬货：

chattr +i /etc/crontab 

这样，先锁定crontab文件，不让任何进程写入数据。

下面就可以安静的删除之前的那些病毒文件了。

先删除这个kill.sh文件，让他不再定期执行：

[root@server ~]# ll /etc/cron.hourly/kill.sh 

接着删除/usr/bin下和/etc/init.d下的所有可疑文件：

比如上图中，第1、2、4、5、6都是可疑文件，随便看一个文件：

可以看到，这个文件又指向了/root/xd文件，而这个xd文件肯定也是病毒文件，需要删除。

最后，删除病原体文件：

[root@server ~]# rm -rf /lib/libkill.so.6 
[root@server ~]# rm -rf /lib/libkill.so 

最最后，别忘了，还要清理现场，关闭一直处于停止状态的那个pid为17161的病毒进程：

[root@server ~]# kill -9 17161 

现在就可以直接执行kill -9的操作了，因为病原体已经被删除，定时任务文件也被锁定，定时执行的脚本也被删除，所以这个病毒再无回天之力了。

最后，再看下清除病毒后的系统状态：

整个世界清静了。

但是，但是，好像我又发现了什么，是的，我发现了一个redis进程在运行。瞬间，明白了这个事件发生的原因了：估计是Redis未授权访问漏洞导致的。

经过验证，确实如此，服务器上的redis没有密码验证机制，可直接登录，不过这不算什么，最悲催的是redis的6379端口默认对全网开放。。。。。

这里科普下什么是十字叉病毒，它是一个或者多个十位随机字母组成的木&马病毒进程，主要目的消耗服务各项资源。属于一种挂马，此病毒会自我保护和自我恢复。主要特征是会往外发送大量数据包。

【编辑推荐】

1. 巧用机器学习定位云服务器故障
2. 国内十大云服务器商排名 各有什么优势呢？
3. 病毒、黑客、暗网……网络安全的内幕比我们看科幻片还刺激！
4. 存储芯片价格撑不住了！云服务器需求崩垮在即，存储市场迎来3年一次大逃杀
5. 敲黑板！知识点！恶意软件、蠕虫、木马病毒知多少？

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!