经过 top 查看,会出现一种 10 个随机字符的***程序在运行,经过多次清楚后会自动生成新的病毒。

我开始直接清除***文件,删除了该删除 10g个随机字符的***文件,干掉进程,但是仍是过段时间还是出现了新的***文件。我从晚上搜了一篇博客也是介绍这种的:http://blog.chinaunix.net/uid-20332519-id-4941140.html

经排查,确实发现以下几点:

/usr/bin/或/bin或/tmp 下有 10 个随机字符的执行文件,比如:/tmp/gvenuuetmg

/etc/cron.hourly/ 下存在 gcc.sh 的脚本

/lib 下存在 libudev.so 的执行文件

/etc/init.d/ 下存在top中查看到的***程序文件,还有 非系统服务的可疑文件存在,如 abcd

执行命令 chkconfig --list 看到以 2800 在有设置启动项,如:

abcd             0:off 1:off 2:on 3:on 4:on 5:on 6:off

gvenuuetmg             0:off 1:off 2:off 3:on 4:on 5:on 6:off


我这边写清楚一点清除的方法:

第一步:使用 chkconfig --del 服务名称 删除自动启动

第二步:删除 /etc/init.d 下可疑文件;杀掉可疑进程和删除执行文件;删除 /etc/cron.hourly/gcc.sh 和 /lib/libudev.so 文件

第三步:清理 /etc/rc.d/rc[0-6].d 下的残留文件,如:K90bbyornbehz K90bcgrrersse K90bjxhjxwlao K90bovgxclnmc K90cesduuhrbq

                清理 /bin/、/usr/bin/、和 /tmp 下的残留文件

第四步:再次排查是否有未清理的残留文件,并对系统做一次全面的安全检查

wKiom1YXLvCTETgzAAPP6FIfKxg565.jpg