今天一天就在这搞病毒了,整得我都他妈快中病毒了。。。由于公司的基础服务除了问题。被黑了,有大量的流量跑出,对我的直接影响就是ssh很难连上。。ping的丢包率竟然达到百分之六七十以上、、、进入系统一看有很多看似正常却又不正常的进程!!!因为:

   ps -eaf

会出现不同的进程并且是自己随时改变的进程!!!

这次遇到的是十字节病毒!

它的特点就是进程杀不死。很吃CPU,吃的你蛋疼!进程杀不死是不是有什么监听程序,一旦杀死就会自己再生成。这只是我自己瞎想的!

top 

你会发现有个十个字符的进程在占了很大的CPU

which ****(十字符)

/usr/bin/****

原来是在/usr/bin 下


(1)crond任务


 停掉 service crond stop

     chkconfig crond off

会发现 /etc/crontab 下有个莫名奇妙的任务在三分钟执行一次。该脚本名字类似gcc3.sh

可以打开gcc3.sh

你会发现病毒的主程序在/lib/libdev4.so

确定把他删掉!

再去放脚本的地方叫脚本删掉

(2)启动


确定是:chmod 000 /etc/init.d/*****

        rm -rf /etc/init.d/****


(3)/usr/bin下处理


取消该命令的执行权限

chmod 000 /usr/bin/*****

把那个目录锁定不能让任何病毒写入。。

chattr +i /usr/bin


(4)主程序


我们不应该去删除/lib/下那个主程序!他还会自动生成的!

重新启动系统!

再去删除。你会发现那个主程序不会再出现!

top 看下是否还有异常程序生成!


开启crond任务 chkconfig crond on


service crond start

chattr -i /usr/bin

pstree 看下有没有异常程序


ps -eaf

刷新一下!!检查是否存在异常程序!




参考文章: http://www.hackbase.com/article-2798-1.html