目录

杀毒记二

引子

前几天,开发说数据库无法创建临时文件了,经检查是所在机器/tmp目录没了。奇怪的是,再次创建/tmp,过会儿又会再次消失。

可是也没有定时任务啊,那就只能是病毒进程造成的了。ps -ef看了下,确实有个cron进程,kill -9后没多会儿,又会重新起来,说明这还不是源头,继续观察,还有一个cruner进程,之前博文杀毒记一的病毒脚本里有它,这就是源头了。

干掉,重新生成/tmp

1
mkdir /tmp && chmod -R 777 $_

另外一次杀毒经历

杀毒记一之前,还经历过一次被入侵,有点特殊之处,故记录下来,希望对大家有点帮助。

当时被入侵后找到问题脚本所在目录/var/tmp/.mwwie,使用如下方式却删不掉

1
2
3
4
5
6
7
8
9
[root@iZ2ze4tgce8abt51hjqjoaZ tmp]# /usr/bin/rm -rf .mwwie/
/usr/bin/rm: cannot remove ‘.mwwie/  /.oznminerv2/exec’: Operation not permitted
/usr/bin/rm: cannot remove ‘.mwwie/  /.oznminerv2/start’: Operation not permitted
/usr/bin/rm: cannot remove ‘.mwwie/  /.oznminerv2/edoeprost’: Operation not permitted
/usr/bin/rm: cannot remove ‘.mwwie/  /.oznminerv2/sloboz’: Operation not permitted
/usr/bin/rm: cannot remove ‘.mwwie/  /.oznminerv2/ozn’: Operation not permitted
/usr/bin/rm: cannot remove ‘.mwwie/  /.oznminerv2/init                                                                                                                                                                                                                               x’: Operation not permitted
/usr/bin/rm: cannot remove ‘.mwwie/  /.oznminerv2/ ’: Operation not permitted
/usr/bin/rm: cannot remove ‘.mwwie/  /.oznminerv2/rootspecs’: Operation not permitted

定时任务与异常进程均已被清理,为啥文件删不掉呢,第一感觉肯定是被锁了呗,遂尝试进入该目录(.oznminerv2)去解锁,却被告知不存在。

于是冷静下来看了看,不知道你注意到没,上面的文件中间有个空格,好吧,真会藏啊,怪不得进不去呢。

1
2
cd /var/tmp/.mwwie
cd "  "/.oznminerv2  # 这样才能进入

接下来使用chattr对文件进行解锁,然后清理即可。