| 处理时间 | 处理记录 | 处理人 |
|---|---|---|
| 20231201-17:00 | 初步排查,设备目前中病毒,病毒本体暂时还未找到 | 马文 |
| 20231215-17:40 | 远程查看发现客户在我司购买的四台服务器以及前断时间付费技术支持安装系统的设备都有病毒,通过排查暂时确定本机上没有病毒文件,病毒是实时攻击的,在hosts文件里开了后门,之后查看hosts文件不能修改,chattr命令被移除,从公司服务器上传chattr至客户设备,之后修改hosts文件,老师反馈之前设备一重启就会有病毒,目前清理完成之后测试付费技术支持的设备重启三四次都正常,其余四台设备由于老师目前在计算,待老师计算完成之后重启再验证 | 马文 |
| 20231219-17:50 | 目前联系老师询问设备情况。老师反馈还是有两台设备会有病毒反复情况,暂时远程连接到设备上进行排查,目前发现有/etc下可疑配置文件,暂时已将可疑文件注释,目前还在观察中 | 马文 |
| 20231222-17:30 | 目前五台机器中暂时还有一台还是会出现病毒,今天在/lib64目录下发现伪装成库文件的可执行程序,暂时已将文件隔离,以及/root目录下的隐藏文件清理,暂时观察还会不会再出现 | 马文 |
| 20231225-17:40 | 目前还是有两台设备可以检测到后台隐藏进程,但没有占用系统资源,重启几次验证也是一样,不会占用硬件资源,暂时先观测当中 | 马文 |
| 20240328-18:00 | 询问客户病毒是否再次出现,客户表示病毒再没有出现了 | 马文 |