我的服务器上出现了高达1 Gbps的峰值,并且一直在寻找病毒和恶意软件。我在/etc/cron.hourly中找到了这个文件:gcc.sh,我想知道是否有人见过类似的东西,并对代码有一些了解。谢谢
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
很可能。它使用/lib/libudev.so.6作为可执行文件,而名称意味着它应该是一个库-尝试使用nm或objdump之类的工具来查看它是否是可执行文件。它从/lib/libudev.so复制到.so.6,而.so通常是到版本控制的符号链接。它还运行一个for循环,即使你已经关闭了所有的网络连接,它也会使用一个著名编译器的名称来显示合法性。我认为这99%以上可能是一种病毒。
找到了另一个引用,它称自己为gcc-https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver。是的,这是unix系统上的DDoS病毒,与您的问题完全匹配。
是的。
尝试使用ps-ef|grep-i libudev.so.6查看程序使用的进程