1、上传病毒文件到/opt目录中

2、把压缩文件名修改成virus.zip

3、检查一下/etc/passwd

​
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
chrony:x:998:996::/var/lib/chrony:/sbin/nologin
mysql:x:997:1000::/home/mysql:/bin/bash
​

4、查看一些重要的命令的状态

5、看看定时任务状态

6、看看当前资源消耗，用top命令

7、看看当前网络连接情况netstat -anp

8、让病毒运行起来

unzip virus.zip
​

这个xf3747就是病毒文件，给一个可执行权限

chmod +x xf3747

运行病毒，稍等一下，需要点时间

病毒运行起来后，会把原来的文件删除，看不到原来的文件了

用top命令看看系统资源使用，cpu占用很高而且出现了奇怪的进程名

看看定时任务，多了一个奇怪的定时任务

用netstat -anp命令查看一下网络连接，发现出现了很多主动向外部链接的请求，而且是上面看到的那个占用cpu比较高的奇怪的进程做的。

把这些外部的IP放入到微步在线查看一下

9、处置步骤

先执行命令netstat -antlp 查看一下向外连接的进程有哪些，可以看到PID分别是1967和2000这两个进程

查看一下这两个目录，这是两个进程执行时候的信息，可以看到两个执行文件都已经被删掉了，所以我们无法在磁盘上用find命令找到他们，但是他们都在内存中执行

cd /proc/1967
cd /proc/2000

这两个进程在执行，并且互为备份

可以使用crontab -l先查看一下定时任务，可以发现这个0g6evy的文件，所在目录一直在改变。

过一分钟再次查看，这个文件又换到其他目录了

记住这两个PID：2000和1967

1）先删除定时任务(这个定时里的内容每隔一分钟都会变化，目录会变化)

2）同时kill上面这两个进程

crontab -r
kill -9 1728 1663

执行完上面两个步骤就可以了，我们还可以把这个定时任务里的可执行文件0g6evy下载到本地，并且上传到尾部沙箱检测一下。并在linux中清除这个文件。

rm -f 0g6evy

这是检测结果

再次查看一下网络连接情况发现已经没有对外连接了

netstat -anltp

执行top命令看看资源使用，一切正常

附件1：

在线杀毒：

可以把疑似病毒样本上传到在线杀毒网站

VirusTotal

还可以把病毒样本上传到云沙箱中运行分析：

https://s.threatbook.com/

下面是分析结果