删除/lib64/libstdc++.so 导致服务器无法启动

2022-06-13 16:38:30 +08:00
 FenixVu

之前中过一次挖矿病毒就是通过 /lib64/libstdc++.so 来隐藏进程 这个看到一样的状况开机 cpuIO 直接 50% 然后我就按照上次的方法操作了下,重启后结果直接就无法启动了 直接在内核引导阶段就进不去,然后恢复模式也进不去,我通过 usb 引导 ubuntu 镜像进入了 ecovery 模式下 重建了 /lib64/libstdc++.so 的软链接但是还是无法开机 请问怎么通过 开机引导内核那部分刷的飞快的日志定位问题啊

2222 次点击
所在节点    Linux
12 条回复
FenixVu
2022-06-13 16:48:51 +08:00
https://testai01.ks3-cn-beijing.ksyuncs.com/WechatIMG134.jpeg


报错图片
U2FsdGVkX1
2022-06-13 17:05:18 +08:00
加个 init=/bin/sh 内核参数能进吗
whenov
2022-06-13 17:17:20 +08:00
在 live 系统中挂载上硬盘,然后用 journalctl 看完整的 kernel log:
journalctl -k -b -D /mnt/var/log/journal/
julyclyde
2022-06-13 17:24:11 +08:00
因为:有挖矿隐藏
所以:你就删了文件

因为:不能启动
所以:你就认为是删文件导致的

啥时候才能,不这么牵强附会因果关系呢?
FenixVu
2022-06-13 17:25:59 +08:00
@U2FsdGVkX1
@whenov
我先试试,谢谢
FenixVu
2022-06-13 17:27:02 +08:00
@julyclyde 菜了没思路(ToT)
julyclyde
2022-06-13 17:28:26 +08:00
@FenixVu 你要是怀疑就去验证一下自己的想法
而不要有了未确定的思路就直接照这思路去处理

如果觉得是那个文件损失,
dpkg -S 反查一下属于哪个包,然后从那个包里取出正确的文件来覆盖吧
FenixVu
2022-06-13 17:31:52 +08:00
@julyclyde 问题现在我没法进入系统,用 usb 引导的 recovery 模式下压根没得 dpkg
julyclyde
2022-06-13 17:33:58 +08:00
@FenixVu 参考一下 2 楼的方法
pagxir
2022-06-13 17:36:12 +08:00
看样子是 init 进程加载失败,你应该进 live cd 然后挂载,然后 chroot 进去跑 ldd /sbin/init 看看挂在那个 so 上了
qbqbqbqb
2022-06-13 23:32:02 +08:00
@FenixVu dpkg 不是非要在同一个系统里用的。只要 recovery 启动盘里有 dpkg 程序,用参数指定一下 database location 就能读取硬盘上面的系统的软件包状态了
FenixVu
2022-06-15 16:17:06 +08:00
感谢各位 问题终于解决了 我按照 @pagxir 大哥的方法一个个的对着看确实有一个没有了,然后我 scp 了一台正在用的 ubuntu16.04 的服务器 /lib64/* 解决了 差点就要放弃重装了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/859329

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX