今天一天就在这搞病毒了,整得我都他妈快中病毒了。。。由于公司的基础服务除了问题。被黑了,有大量的流量跑出,对我的直接影响就是ssh很难连上。。ping的丢包率竟然达到百分之六七十以上、、、进入系统一看有很多看似正常却又不正常的进程!!!因为:
ps -eaf
会出现不同的进程并且是自己随时改变的进程!!!
这次遇到的是十字节病毒!
它的特点就是进程杀不死。很吃CPU,吃的你蛋疼!进程杀不死是不是有什么监听程序,一旦杀死就会自己再生成。这只是我自己瞎想的!
top
你会发现有个十个字符的进程在占了很大的CPU
which ****(十字符)
/usr/bin/****
原来是在/usr/bin 下
(1)crond任务
停掉 service crond stop
chkconfig crond off
会发现 /etc/crontab 下有个莫名奇妙的任务在三分钟执行一次。该脚本名字类似gcc3.sh
可以打开gcc3.sh
你会发现病毒的主程序在/lib/libdev4.so
确定把他删掉!
再去放脚本的地方叫脚本删掉
(2)启动
确定是:chmod 000 /etc/init.d/*****
rm -rf /etc/init.d/****
(3)/usr/bin下处理
取消该命令的执行权限
chmod 000 /usr/bin/*****
把那个目录锁定不能让任何病毒写入。。
chattr +i /usr/bin
(4)主程序
我们不应该去删除/lib/下那个主程序!他还会自动生成的!
重新启动系统!
再去删除。你会发现那个主程序不会再出现!
top 看下是否还有异常程序生成!
开启crond任务 chkconfig crond on
service crond start
chattr -i /usr/bin
pstree 看下有没有异常程序
ps -eaf
刷新一下!!检查是否存在异常程序!
参考文章: http://www.hackbase.com/article-2798-1.html
转载于:https://blog.51cto.com/linuxbo/1748857