故事情节:某天聚餐,朋友告诉我,他的服务器有一个异常进程,他一直在运行CPU被占满运行,我吃饱饭就答应了他,有空就登录他的服务器看看具体情况。这一天是5月1日,一年一度的劳动节到了。闲在家里看综艺节目。这时候,我的手机响了,一条微信消息来了。我看到他发给我的两张照片顿时勾起了我内心的好奇。就上面三张图,proc目录下exe指向的文件已经被删除了。看到这里,我很好奇这个过程一定是隐藏的。这时我急了,向这位朋友要了root账号的密码。登录服务器使用top命令后,发现有一个奇怪的进程在运行。我用kill命令杀掉后,等了大概十分钟,发现还没有启动。这时,我告诉这位朋友杀了它。他问我杀了它吗?我说是的,他补充说这个过程将在一段时间后启动。我问他要多久开始,他说不出一天之内肯定会开始。这时,我慌了。一天之内激活的话,明天就看不到了,实在是没办法。我又开始看我的综艺了。没过多久,再次查看,发现进程又启动了,名称不同。CPU还是满的。这时,我在研究这个进程的运行文件时,发现:这个进程会连接到韩国的一个服务器。我访问了这个IP,发现是一个正常的网站,没有任何异常。同时在查看运行目录的时候,发现了以下问题:发现没有运行文件的命令,运行目录也被删除了。这时,我陷入了困境,不知如何是好。这时,突然想起一个定时运行的脚本。像这样打开脚本:发现脚本是base64编码加密的。在网上找了一个解密工具。解密后发现这是脚本的完整脚本,如图:我看了一下下面的脚本内容,下面是执行一个临时文件,并赋予执行权限删除它执行完成后,所以刚才看的时候发现执行目录下的文件报错了。最囧的在这儿,关键的在这儿。利用拼接形成URL下载病毒文件。通过一系列的操作,首先查看本机IP,然后是我是谁,然后是本机的架构,本机的主机名,本机网卡的所有IP。最重要的是把网络变成一个md5sum。最后查看定时任务,做了一个base64字符串。接下来,我下载了脚本来执行和添加计划任务。有趣的是,这个脚本创建于2017年,至今仍在使用。最后我取消了他的所有权限,改了名字,同时删除了定时任务。至此,病毒已被清除。
