先是发现linux常见命令wget,curl不见了,以为是误操作没了,发现历史命令都没了,就很不正常,但是top也没见有啥高消耗进程,就没在意,,yum安装命令时竟然显示安装了,rpm
-qa 截取查看命令也在,神奇啊

但是就yum下载时显示域名解析失败,修改resove文件权限拒绝!!我就懵逼,查看隐藏权限后发现有i和额,使用chattr去除时显示权限不够!!!这人牛皮了,把命令执行权限去掉了,chmod加上继续执行

继续yum安装curl,但是还是安装不了,显示有yum进程在运行,,就有点懵逼,ps看了下yum程序,发现有一个在安装unhied,很明显不是我的
正思考时突然弹出一条有邮件信息,然后不自觉的就看了下计划任务,有一条我没见过的
然后查看这个newinit.sh,里面可大有学问哈,也找到了我命令能查到不能使用的原因了

瞬间就感觉这人有点笨,你cp不好吗,非得mv

继续查看找到一ip:195.58.39.46
石锤被搞了,这就是真实ip没cdn

那接下来直接上才艺,这必定又一个自启功能和守护进程

理论上杀掉进程就ok

kill -9 ps -ef | grep newinit | grep -v grep |awk '{print $2}'

然后就是计划任务:

crontab -e进去删掉后再看竟然还在里面,卧c

又是宝贝,解除保护并清空

到此就危机解除,至于这个被上传的脚本有啥功能还需研究下,
这个newinit.sh我已经上传至资源供大家免费研究下载

-----------------------------------------------------------
后续:由于这病毒太顽固,改的东西太多,还是重装得了

技术
下载桌面版
GitHub
百度网盘(提取码:draw)
Gitee
云服务器优惠
阿里云优惠券
腾讯云优惠券
华为云优惠券
站点信息
问题反馈
邮箱:ixiaoyang8@qq.com
QQ群:766591547
关注微信