一次Linux下的病毒查杀—-gcc.sh libudev.so

这是一次意外的发现。
a) 发现
ps aux无意间发现有个进程在cat resolv.conf,由于是新机器,我也没有加脚本,一会ifconfig 一会cat resolv.conf,觉得奇怪,四处看了下,没有发现是哪个进程在运行,systemctl -l|grep running在看的时候发现cron,觉得会不会是cron有我不知道的任务,果然,cat /etc/crontab发现最后一行

/3 * * * * root /etc/cron.hourly/gcc.sh
root@mr:~# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

b) 处理
通过关键词 cron gcc libudev的搜索,确定这是一个病毒程序,会随机生成一个10位字符的进程,不停向外发包,鬼知道我怎么没有发现流量有异常

/3 * * * * root /etc/cron.hourly/gcc.sh
root@mr:~# file /lib/libudev.so
/lib/libudev.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

竟然是一个32位ELF程序
top查看到有一个名字奇怪的进程就是它了,我的是叫efpyfexmrl

root@mr:~# top -p 6818
6818 root      20   0   25592    688    408 T  0.0  0.1  15:35.97 efpyfexmrl

在crontab下把最后一行删掉后,设置无法修改crontab,防止再次出现gcc.sh

root@mr:~# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

这时不能直接kill进程,不然会再次生成新进程

root@mr:~# kill -STOP 6818

删除rc.d init.d下相关文件

root@mr:~# find /etc/ -name "*efpyfexmrl*"|xargs rm -f

删除/usr/bin下程序并且检查有没有最近出现的可疑程序

root@mr:~# rm -f /usr/bin/efpyfexmrl
root@mr:~# ls -lt /usr/bin | head

现在删除掉元凶/lib/libudev.so,并kill掉之前的进程

root@mr:~# rm -f /lib/libudev.so*
root@mr:~# kill -9 6818

最后,自觉这次事故的元凶还是弱口令,赶紧重新设置了一个新的密码,千万不能存在侥幸心理,太吓人了
c) 总结
这次的事情,完全是误打误撞解决掉的,发现问题定位没有方向,连top都没有第一时间想到,必须引以为戒,不可大意
d) 参考
感谢两位大大的文章,让我解决了这个问题
Linux 10字符串命令病毒的处理记录

Linux之在CentOS上一次艰难的木马查杀过程

嗯,网站搬迁至vultr,以后再考虑Hexo django ...

Mr.OS 2016-12-24 没有评论

站在巨人的肩膀上——Donald Knuth

膜拜~~
Donald Knuth(中文名:高德纳)在自传的开头这样写道:“Donald Knuth真的只是一个人么?”
他的成就数不胜数。
算法和数据结构的鼻祖(有人说他是算法的上帝)。
除了计算机科学家(当然,他本人更喜欢art而不是Science),还是一个数学家,著作"Concrete Mathematics"(《具体数学》)。
巨著TAOCP("The Art of Computer Programming")至今未完成 从第一卷1968年《基本算法》出版,已经出书4卷。
TAOCP完成第三卷之后他觉得当时计算机排版效果太差,于是他停止写书,用了10年,发明TeX和METAFONT给全球的印刷排版带来改革。
KMP算法领头的K。
业余时间,他是小说家、音乐家、作曲家。
真乃神人也。
以后继续补充。
更多请看wikipedia:https://en.wikipedia.org/wiki/Donald_Knuth
以及网上各种传说。

APUE学习阶段过去就该抽空总结了 总结、回顾、学习,现在的我还是差的远呢。关于php.html.CSS.JS...的记录要暂时中止了。
看了看各大企业招聘的题目, 真的是很。。恶心,明明就是智力测试啊喂。
好好加油吧。
为了未来更优秀的自己。

Mr.OS 2016-01-23 1个评论

2016年的第一天。为了未来的自己 要加油

Mr.OS 2016-01-1 没有评论

非插件改变标签云参数(两种方法)

首先要看的是wordpress的wp_tag_cloud()函数。
如果是编写插件中引用的话更需要这些东西。
阅读全文→

不用插件设置彩色标签云

在当前主题的function.php文件的最后添加:

function colorCloud($text) {
	$text = preg_replace_callback('|<a (.+?)>|i', 'colorCloudCallback', $text);
	return $text;
}
function colorCloudCallback($matches) {
	$text = $matches[1];
	$color = dechex(rand(0,16777215));
	//$colors=array('ff3300','0517c2','0fc317','e7cc17','601165','ffb900','f74e1e','00a4ef','7fba00');
	//$color=$colors[rand(0,8)];
	$pattern = '/style=(\'|\")(.*)(\'|\")/i';
	$text = preg_replace($pattern, "style=\"color:#{$color};$2;\"", $text);
	return "<a $text>";
}
	add_filter('wp_tag_cloud', 'colorCloud', 1);?>

这样在首页调用标签云就可以了。

网站底部加上运行时间

在网站底部加上代码。

wordpress代码在footer合适的位置加上代码:
阅读全文→

WordPress禁用删除旧版本、自动保存和草稿

首先是禁用功能 阅读全文→

那些可恶的垃圾评论们,惩罚你们的时候到了!

连续几个星期的垃圾评论,一天比一天过分的spam...我真的无语了,还以为我这么个小小博客不会有垃圾评论,看来我还是太天真了。。。

看了看,除了自带的黑名单和注册才能评论 一共有那么3种方法
1.著名的Akismet插件
这个不用说 还是很给力的。(吐槽.天朝的墙让我用上VPN才顺利注册)
不过这个是有一定误杀概率的。
对付垃圾评论机器人,下面这个插件最给力:
2.NoSpamNX
NoSpamNX反垃圾评论的方法与Akismet不同,安装了NoSpamNX插件后,博客评论框的 name 属性改成了随机数,并添加一个新的隐藏的评论框,Spambot发评论时会把隐藏的评论框也填满数据,而人工评论不会是这样。插件根据此特征从而Block掉机器人的垃圾评论。
3.人工验证插件
就是各种验证码验证图片神马的,鉴于太影响界面,还是没用这个。

Kill you spam!!
看看spam还能笑多久~