記一則Linux病毒的處理
阿新 • • 發佈:2018-08-09
服務 cat 找到 ron gcc linu amp oca 三分
今天某項目經理反饋學校的某臺服務器不停的向外發包,且CPU持續100%,遠程登錄後查看發現有一長度為10的隨機字符串進程,kill掉,會重新生成另外長度為10的字符串進程。刪除文件也會重復生成,非常痛苦。查閱crond相關日誌,發現實際執行的內容為/lib/libudev.so ,以此為關鍵字進行查詢,找到如下內容:
- 網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。
- 檢查 /etc/crontab 每三分鐘執行 gcc.sh
*/3 * * * * root /etc/cron.hourly/gcc.sh
- 查看病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。
[root@deyu ~]# cat /etc/cron.hourly/gcc.sh #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in `cat /proc/net/dev|grep :|awk -F: {‘print $1‘}`; do ifconfig $i up& done cp /lib/libudev.so /lib/libudev.so.6 /lib/libudev.so.6
- 刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 無法變動,否則馬上又會產生。
[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
- 使用 top 查看病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程序,否則會再產生,而是停止其運作。
[root@deyu ~]# kill -STOP 16621
- 刪除 /etc/init.d 內的檔案。
[root@deyu ~]# find /etc -name ‘*mtyxkeaofa*‘ | xargs rm -f
- 刪除 /usr/bin 內的檔案。
[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa
- 查看 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。
[root@deyu ~]# ls -lt /usr/bin | head
- 現在殺掉病毒程序,就不會再產生。
[root@deyu ~]# pkill mtyxkeaofa
- 刪除病毒本體。
[root@deyu ~]# rm -f /lib/libudev.so
使用此方法 可以完全清除此病毒。
記一則Linux病毒的處理