这是一个创建于 1235 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前中过一次挖矿病毒就是通过 /lib64/libstdc++.so 来隐藏进程 这个看到一样的状况开机 cpuIO 直接 50% 然后我就按照上次的方法操作了下,重启后结果直接就无法启动了 直接在内核引导阶段就进不去,然后恢复模式也进不去,我通过 usb 引导 ubuntu 镜像进入了 ecovery 模式下 重建了 /lib64/libstdc++.so 的软链接但是还是无法开机 请问怎么通过 开机引导内核那部分刷的飞快的日志定位问题啊
 |
1
FenixVu OP |
 |
2
U2FsdGVkX1 2022-06-13 17:05:18 +08:00
加个 init=/bin/sh 内核参数能进吗
|
 |
3
whenov 2022-06-13 17:17:20 +08:00  1
在 live 系统中挂载上硬盘,然后用 journalctl 看完整的 kernel log:
journalctl -k -b -D /mnt/var/log/journal/ |
 |
4
julyclyde 2022-06-13 17:24:11 +08:00
因为:有挖矿隐藏
所以:你就删了文件 因为:不能启动 所以:你就认为是删文件导致的 啥时候才能,不这么牵强附会因果关系呢? |
|
5
FenixVu OP |
|
7
julyclyde 2022-06-13 17:28:26 +08:00
|
 |
10
pagxir 2022-06-13 17:36:12 +08:00 via Android
看样子是 init 进程加载失败,你应该进 live cd 然后挂载,然后 chroot 进去跑 ldd /sbin/init 看看挂在那个 so 上了
|
Select Language