源地址:
http://bbs.chinaunix.net/thread-4144495-1-1.html
环境
centos 6.5,开放22端口root权限,密码长度8位字母加数字全小写无规律
-------------------------------------------------------------------------------------
现象
服务器不停往外发包,带宽占满(5分钟能发10G)。能看到名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行。
-------------------------------------------------------------------------------------
解决过程
修改外网映射22端口到XXXX
修改root密码
passwd
关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no
查看占用端口
netstat -atunlp
看到sfewfesfs和.sshdd1401029348进程在发包
查看进程位置
ll /proc/进程PID
参考http://blog.chinaunix.net/uid-1819848-id-4288137.html
删除病毒文件
sudo chattr -i /etc/sfewfesfs*
sudo rm -rf /etc/sfewfesfs*
看到名为nhgbhhj的可疑文件一并删除
sudo rm -rf /etc/nhgbhhj
删除计划任务
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1
参考http://www.linuxquestions.org/qu ... malware-4175501872/
用ls -al看到.SSH2隐藏文件,删除
sudo rm -rf /etc/.SSH2
用ls -al看到.sshdd1401029348隐藏文件,删除
sudo rm -rf /tmp/.sshdd140*
重启服务器,搞定。
其他,中招后重装过一次系统但立即又中,曾一度怀疑是安装盘的问题-_-!,22端口的root权限还是不要开了,nozuonodie,头一次经历linux中毒曾一度以为是很安全的操作系统-_-!,中过一次才觉得爽,大意了。
病毒具体作用机制本人能力有限没精力仔细研究了,还得大神们来,据说这个是4月份的