机器被感染病毒文件zigw的处理流程

1、现象

服务器CPU报警，查看时，已接近100%。

2、查找

使用top查看是哪个进程在占用CPU，此时zigw立刻出现，记录下进程的PID，假如为12345。

(1) 如果在不知道程序的路径前，就杀死了进程(kill -9 12345)，那么就只能通过find / -name zigw来查找病毒文件的位置了。找到后，首要做的就是删除它。

(2) 如果没有杀死进程，我们可以先获取病毒文件路径。ll /proc/12345，发现程序的文件指向/etc/zigw，于是开始删除它。

3、删除

删除的过程中，会遇到无法删除的情况。这是因为文件添加了隐藏属性。

lsattr zigw查看文件隐藏属性，一般会有i和a这两个隐藏属性，这俩属性阻止了我们的删除行为。

我们首要做的就是取消这俩权限。

chattr -ia zigw

rm -f zigw

4、检查

一般攻击者会加入定时任务和留下后门。

crontab -l执行时，出现了乱码，但乱码中有一些信息。它会从某个远程地址下载脚本来执行。

http://chrome.zer0day.ru:5050/mrx1

这个地址是我被攻击时的，如果你被攻击了，可能不是这个地址了。

crontab -e想去删除定时任务，发现无法删除，每次退出，它又还原了。

还原的同时它会报出另外一个目录：/var/spool/cron，进入该目录，目录下有2个文件，直接rm -rf *无法删除。

同理是隐藏属性的事。

lsattr *

chattr -ai root

chattr -ai dump.rdb

同时还要查看/root/.ssh/authorized_keys文件，如果有多余的密钥，需要清除它们。

5、反思

此次攻击是攻击者利用了redis的漏洞进入的，以后要严格限制防火墙的开放规则，对于已经有安全通报的软件不要随意安装。

参考站点：

https://blog.csdn.net/sayWhat_sayHello/article/details/83988443

http://blog.51cto.com/10950710/2123114?tdsourcetag=s_pcqq_aiomsg