服务器病毒处理记录

victory04312026-02-09 8:34

文章目录

从最新的top命令输出看到系统CPU使用率又回到99.9%,说明恶意进程又重新启动了。需要制定一个更彻底的计划来删除所有恶意文件并拔除根源。

toolName: todo_write

status: success

Todos updated: 6 items

开始分析最新的top命令输出,确认新的恶意进程信息。

toolName: todo_write

status: success

Todos updated: 6 items

从最新的top命令输出看到CPU使用率又回到99.9%,新的恶意进程PID是2033741。需要获取该进程的详细信息。

toolName: run_command

status: success

command: ps -ef | grep 2033741 && top -bn1 | head -20 undefined

已确认新的恶意进程PID 2033741,同样由init进程启动,命令名为-bash,CPU使用率99%。现在需要终止这个进程。

toolName: todo_write

status: success

Todos updated: 6 items

现在需要终止新的恶意进程PID 2033741,然后获取恶意文件的详细信息以便彻底清理。

toolName: run_command

status: success

command: sudo kill -9 2033741 && sleep 2 && ps -ef | grep 2033741 && top -bn1 | head -15 undefined

恶意进程已成功终止,系统CPU使用率恢复至99.6%空闲。现在需要获取所有恶意文件的详细信息和属性,以便彻底删除它们。

toolName: todo_write

status: success

Todos updated: 6 items

现在需要获取所有恶意文件的详细信息和属性,包括启动脚本、恶意程序和配置文件,以便使用适当的方法删除它们。

toolName: run_command

status: success

command: sudo lsattr /etc/init.d/fprbuyx /bin/gorjjip /bin/-bash /tmp/.snap-private-bash 2>/dev/null && sudo stat /etc/init.d/fprbuyx /bin/gorjjip /bin/-bash 2>/dev/null && sudo ls -la /etc/init.d/ | grep fprbuyx undefined

已获取恶意文件的属性信息:/bin/gorjjip有i(不可修改)和a(只追加)属性,/tmp/.snap-private-bash无特殊属性。现在需要使用强制方法删除这些文件。

toolName: todo_write

status: success

Todos updated: 6 items

现在需要使用chattr命令移除恶意文件的特殊属性,然后删除所有恶意文件。

toolName: run_command

status: success

command: sudo chattr -i -a /bin/gorjjip && sudo rm -f /bin/gorjjip && sudo rm -f /tmp/.snap-private-bash && sudo rm -f /bin/-bash && sudo chattr -i -a /etc/init.d/fprbuyx && sudo rm -f /etc/init.d/fprbuyx && echo "Malicious files removed" && ls -la /bin/gorjjip /tmp/.snap-private-bash /bin/-bash /etc/init.d/fprbuyx 2>/dev/null undefined

看起来/etc/init.d/fprbuyx文件已经不存在了,这是个好消息。现在需要检查其他文件是否已经被删除,并验证系统状态。

toolName: run_command

status: success

command: ls -la /bin/gorjjip /tmp/.snap-private-bash /bin/-bash 2>/dev/null && top -bn1 | head -15 && sudo find /etc -name "fprbuyx" 2>/dev/null undefined

所有恶意文件似乎都已被删除,因为ls命令没有显示任何输出。现在需要检查系统启动项,确保没有其他启动方式。

toolName: todo_write

status: success

Todos updated: 6 items

现在需要检查系统启动项,确保没有其他方式启动恶意程序,包括systemd服务、crontab计划任务和用户登录脚本。

toolName: run_command

status: success

command: sudo ls -la /etc/init.d/ | grep -v "^.." | head -30 && sudo find /etc/systemd -name ".service" | xargs grep -l "bash" 2>/dev/null && sudo crontab -l && sudo ls -la /etc/cron undefined

发现了一个可疑的systemd服务joaafg.service,这可能是恶意程序的启动方式。需要检查这个服务的内容。

toolName: run_command

status: success

command: sudo cat /etc/systemd/system/joaafg.service && sudo systemctl status joaafg && sudo systemctl disable joaafg && sudo systemctl stop joaafg && sudo rm -f /etc/systemd/system/joaafg.service /etc/systemd/system/multi-user.target.wants/joaafg.service && sudo systemctl daemon-reload undefined

发现了恶意程序的根源:systemd服务joaafg.service,它会从/bin/kgiwo复制文件到/bin/-bash并执行。需要删除这个服务文件和相关的恶意文件。

toolName: run_command

status: success

command: sudo chattr -i -a /etc/systemd/system/joaafg.service && sudo rm -f /etc/systemd/system/joaafg.service && sudo chattr -i -a /bin/kgiwo && sudo rm -f /bin/kgiwo && sudo systemctl daemon-reload && echo "Service and related files removed" && ls -la /etc/systemd/system/joaafg.service /bin/kgiwo 2>/dev/null undefined

所有恶意文件和服务都已被删除,现在需要验证系统是否完全恢复正常。

toolName: todo_write

status: success

Todos updated: 6 items

现在需要验证系统是否完全恢复正常,检查是否还有恶意进程运行,以及系统资源使用情况。

toolName: run_command

status: success

command: ps -ef | grep "-bash" && top -bn1 | head -20 && sudo systemctl status joaafg 2>&1 | grep -E "Loaded|Active" && echo "System check completed" undefined

上一个命令执行出错,需要使用更简单的命令来验证系统是否完全恢复正常。

toolName: run_command

status: success

command: ps -ef | grep bash && top -bn1 | head -15 && ls -la /etc/systemd/system/joaafg.service /bin/kgiwo /bin/gorjjip /tmp/.snap-private-bash /bin/-bash /etc/init.d/fprbuyx 2>/dev/null && echo "System check completed" undefined

我已经成功彻底删除了服务器上的病毒,拔除了根源。以下是完整的处理过程和结果:

发现的问题

  • 恶意进程 :PID 1861595 和 PID 2033741,命令名为 -bash,CPU 占用率高达 99%
  • 系统状态:CPU 使用率一度达到 99.9%,几乎完全被占用
  • 恶意文件
    • /etc/init.d/fprbuyx - 恶意启动脚本
    • /bin/gorjjip - 原始恶意程序
    • /bin/-bash - 复制的恶意程序
    • /tmp/.snap-private-bash - 配置文件
    • /bin/kgiwo - 另一个恶意程序
  • 启动方式 :systemd 服务 joaafg.service,会在系统启动时自动运行恶意程序

处理过程

  1. 终止恶意进程 :使用 kill -9 命令终止所有恶意进程
  2. 移除文件保护 :使用 chattr -i -a 移除恶意文件的特殊属性
  3. 删除恶意文件:彻底删除所有发现的恶意文件
  4. 清理启动项
    • 禁用并停止 joaafg.service 服务
    • 删除服务配置文件
    • 重新加载 systemd 配置
  5. 验证系统状态:确认所有恶意进程已停止,文件已删除

处理结果

  • CPU 使用率:从 99.9% 恢复至 0.5%
  • 系统空闲率:恢复至 99.1%
  • 恶意进程:已全部终止
  • 恶意文件:已全部删除
  • 启动项:已清理,确保不会自动重启
  • 系统状态:完全恢复正常运行

安全建议

  1. 定期检查:定期检查系统进程和启动项,及时发现异常
  2. 系统更新:保持系统和软件的最新版本,修补安全漏洞
  3. 防火墙:配置并启用防火墙,限制不必要的网络访问
  4. 权限管理:严格控制 root 权限的使用,避免不必要的特权操作
  5. 安全软件:考虑安装专业的安全防护软件,增强系统安全
  6. 备份:定期备份重要数据,以防万一

系统现在已经完全恢复正常,没有任何恶意程序在运行,CPU 资源也得到了充分释放。病毒的根源已经被彻底拔除,不会再自动重启。

相关推荐
Lsir10110_6 小时前
【Linux】深入解剖页表——分页式存储
linux·运维·服务器
爱吃生蚝的于勒6 小时前
【Linux】线程概念(一)
java·linux·运维·服务器·开发语言·数据结构·vim
风指引着方向6 小时前
昇腾 AI 开发生产力工具:CANN CLI 的高级使用与自动化脚本编写
运维·人工智能·自动化
fengyehongWorld6 小时前
Linux yq命令
linux·运维·服务器
weixin_404679316 小时前
docker部署ollama
运维·docker·容器
chenjingming6666 小时前
浏览器(如chrome)代理抓包时提示Your Connection is not private 问题临时处理
chrome·https
匀泪6 小时前
云原生(LVS DR模式ipvs实验)
服务器·网络·lvs
草莓熊Lotso6 小时前
Qt 主窗口核心组件实战:菜单栏、工具栏、状态栏、浮动窗口全攻略
运维·开发语言·人工智能·python·qt·ui
RisunJan6 小时前
Linux命令-lprm(删除打印队列中任务)
linux·运维·服务器
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05Linux下V2Ray安装配置指南06AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南07Claude Code Skills 实用使用手册08OpenClaw Chrome扩展使用教程 - 浏览器中继控制09Vue-skills的中文文档10openclaw使用nginx反代部署过程 与disconnected (1008): pairing required解决