病毒入侵排查方式，持续更新

一、

rc.local 被增加恶意命令

执行以下命令，查看 rc.local 文件。文件主要作用启动Linux中的服务。

?

1	cat /etc/rc.local

 若输出信息为非业务或公告镜像添加的命令，例如 wget xx 及 /tmp/xx 等，则云服务器已大概率被病毒入侵。

二、

crontab 被增加恶意任务

执行以下命令，列出目前的时程表。首先kill 陌生进程，然后删除定时任务，禁止写入。

?

1	crontab -l

 若输出信息为非业务或公告镜像添加的命令，例如 wget xx 及 /tmp/xx 等，则云服务器已大概率被病毒入侵。

三、

ld.so.preload 增加动态库劫持

执行以下命令，查看 /etc/ld.so.preload 文件。

?

1	cat /etc/ld.so.preload

 若输出信息为非业务增加的动态库，则云服务器已大概率被病毒入侵。

四、

sysctl.conf 配置大页内存

执行以下命令，查看大页内存使用情况。

?

1	sysctl -a | grep "nr_hugepages "

 若输出非0，且业务自身程序并未使用大页内存，则云服务器已大概率被病毒入侵。

 

 

解决方法：

1、最简单有效的方法就是重装
2、要查的话就是找到病毒文件然后删除；中毒之后一般机器cpu、内存使用率会比较高，机器向外发包等异常情况，排查方法简单介绍下：
#top命令找到cpu使用率最高的进程，一般病毒文件命名都比较乱
#可以用ps aux 找到病毒文件位置
#rm -f 命令删除病毒文件
#检查计划任务、开机启动项和病毒文件目录有无其他可以文件等
3、由于即使删除病毒文件不排除有潜伏病毒，所以最好是把机器备份数据之后重装一下。