linux解决病毒系列之一,删除十字符libudev.so病毒文件

前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。

用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。

我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。

 

这病毒怎么解决了?

比如病毒为:abcdefjhee

1.which abcdefjhee

会发现病毒在 /usr/bin/abcdefjhee 这里

2.cat /etc/crontab 查看定时任务

你会发现定时任务,其余几个定时任务你可查看

3.开干病毒

kill -stop 病毒进程

4.锁定相关目录,暂时不要让新文件生成

chmod 000 /usr/bin/abcdefjhee

chattr +i /usr/bin

chattr +i /bin/

chattr +i /tmp/

 

5.然后cat /etc/crontab 打开文件,你会看到脚本有个/etc/cron.hourly/gcc.sh的文件

 

6.然后

cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6


7.然后找到位置,把病毒文件删除掉

8.然后吧定时任务中文件删掉
rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab


9.移除跟这个病毒相关的信息
find /etc -name '*abcdefjhee*' | xargs rm -f

10.rm -f /usr/bin/abcdefjhee

11.查看最近的运行的命令,奇怪的删掉
ls -lt /usr/bin | head

12.杀死病毒进程
pkill abcdefjhee

13.把最开始文件权限打开
  chattr -i /usr/bin

  chattr -i /bin/

  chattr -i /tmp/

最后用top 在观察,chkconfig --list 查看是否有异常应用占用网络带宽

 

基本搞定...


这次让我明白了,服务器要做好监控了,不然病毒来了,不好解决

posted @ 2018-11-04 18:00  全力以赴001  阅读(1139)  评论(0编辑  收藏  举报