前两天一服务器一联网就丢包,断断续续,流量监控到流量跑的非常高,怀疑是***但关闭80口后问题依旧,开始着手是否服务器中了病毒果然不出所料

netstat -nltp

发现有三个可疑链接文件名如下

sfewfesfs

sshdd14XXXXXXXX(一串随机数字)

sshhdd14XXXXXXXX(一串随机数字)

查看文件进程PID路径

ps -axu | grep -i sfewfesfs

ps -axu | grep -i sshdd14*

ps -axu | grep -i sshhdd14*

发现sfewfesfs和nhgbhhj在/etc下

首先解除删除权限chattr -i /etc/sfewfesfs*

 rm -rf /etc/sfewfesfs*

看到名为nhgbhhj等的可疑文件一并删除

rm -rf /etc/nhgbhhj

rm -rf /etc/nhgbhhj*

删除计划任务,防止病毒再次生成

rm -rf /var/spool/cron/root

rm -rf /var/spool/cron/root.1

用ls -al /etc看到.SSH2(还有可能是.SSHH2)隐藏文件,删除

rm -rf /etc/.SSH2

rm -rf /etc/.SSHH2

用ls -al /tmp看到.sshdd14XXXXXXXX(一串随机数字)或.sshhdd14XXXXXXXX(一串随机数字)隐藏文件,删除

rm -rf /tmp/.sshdd14*

rm -rf /tmp/.sshhdd14*

重启服务器后,一切恢复正常。