病毒表现:

网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为lscd之类常见的命令,CPU利用率也在top之首。杀死该进程后,会再随机产生一个新的进程。

 

清楚病毒步骤:

  1. 查看/proc/_pid/cmdline里面全是伪造信息,随机产生pssutop等命令;

  2. 由于病毒产生大量的流量,先使用iptables封掉出口IP,当病毒检测流量发布出去后会进入监听状态,监听端口;

  3. 想到病毒一般都会有检测机制,所以查找其根文件,crontab/etc/rc.d/init.d/etc/rc3.d//etc/rc.d/rc.localsystemd,查看这些相关文件,果然有收获:spacer.gif

这个病毒居然会定时!!!果断注释掉这行,先别删,不然会自动创建;

  1. 查看/etc/cron.hourly里面的gcc文件:

spacer.gif

6了,防不胜防啊,居然会在/lib目录下做手脚,

邪不胜正,咱们搞定它!

  1. /lib目录下,查看病毒文件,发现是可执行的文件,进行如下操作:

  2. a)    file  libudev.so查看文件内容

  3. b)    rm –rf /lib/libudev.so &chattr +i /lib;限制/lib目录写入文件

  4. c)    然后回到/etc/cron.hourly目录下,删除gcc4.sh文件;

  5. lsof  -R|grep “/usr/bin”查看进程,发现随机产生的命令其ppid(夫进程)为1,则跟/etc/init.d某个服务有关,查看:

spacer.gif

  1. /etc/init.d下查看,有病毒文件:spacer.gif

  2. 查看病毒文件:

spacer.gif

  1. 所以病毒会在/bin下产生,遂进行删除,删除后发现会重新生成,决定先锁住/bin目录(我之前删了好久,就是忘了这一步,不然可以省掉很多时间!哭!):

  2. a)    rm –rf /usr/bin/asdjhrsdrf  & chattr +i /usr/bin

  3. 此时病毒如果还是在的,top看一下,然后删除主进程,删除病毒产生的相关文件就ok了!