Linux下随机10字符病毒的清除

一、现象

服务器不停的向外发包，网络流量暴满，且CPU持续100%。远程登录后查看发现有一长度为10的随机字符串进程，kill掉，会重新生成另外长度为10的字符串进程。删除文件也会重复生成

lsof -R | grep “/usr/bin”，发现主进程不变，总是产生几个辅进程，并且一直处于dedeted状态，这说明主进程会快速产生几个子进程，然后这些进程之间相互检测，一旦检测到病毒主体被删除或更改，就会再产生一个

ps -ef | grep '字符串'  #检索不到
用pstree可以看到真实的名字

• 1
• 2

二、查看crontab

[root@localhost ~]# crontab -l  #未发现异常任务
[root@localhost ~]# cat /etc/crontab
*/3 * * * * root /etc/cron.hourly/cron.sh
*/3 * * * * root /etc/cron.hourly/kill.sh

• 1
• 2
• 3
• 4

系统级任务就放在 /etc/crontab 下，一般不会去编辑它，用户级任务 crontab -e 在 /var/spool/cron/username里创建一个crontab文件

cat /etc/cron.hourly/cron.sh
#!/bin/sh 
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug /lib/udev/debug

• 1
• 2
• 3
• 4
• 5

cat /etc/cron.hourly/kill.sh
#!/bin/sh 
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libkill.so /lib/libkill.so.6 /lib/libkill.so.6

• 1
• 2
• 3
• 4
• 5

单看cron.sh基本能分析出来它的毒害原理了，我的猜测： 
/lib/udev/udev是病原体，通过cron.sh每隔3min自动检测一次，如果木马程序不存在，就从病原体复制一份儿到/lib/udev/debug 
副本/lib/udev/debug执行，生成一个随机命名的程序，丢到/usr/bin/、/boot等目录 
同时修改了自启动配置chkconfig –add xxx ，同时修改自启动项/etc/rc.local

三、解决

1、使用 top 查看病毒pid，为 16621，不要直接kill掉程序，否则会再产生，而是停止其运行

kill -STOP 16621

• 1

2、删除相关病毒文件

rm -rf /etc/cron.hourly/kill.sh /etc/cron.hourly/cron.sh
find /etc -name '*mtyxkeaofa*' | xargs rm -f
rm -f /usr/bin/mtyxkeaofa

• 1
• 2
• 3

查看 /usr/bin 最近变动的记录，如果是病毒也一并刪除，其他可疑的目录也一样。

ls -lt /usr/bin | head

• 1

3、现在杀掉病毒程序，就不会再产生

pkill mtyxkeaofa

• 1

4、删除病毒本体

rm -f /lib/udev/udev /lib/libudev.so

• 1

四、总结：

１、/proc里面的东西是可以更改的； 
２、lsof还比较忠诚，不直接读取/proc里面的信息，ps看到的就不一定真实，pstree和top看到的进程还是正确的。 
3、留意/etc/crontab和/etc/cron.*下的几个任务目录 
4、木马程序的出现，而且是root账号下，应该是之前风靡的redis漏洞引起，redis内部服务器调用，可以监听内网