分享一下我老師大神的人工智慧教程！零基礎，通俗易懂！http://blog.csdn.net/jiangjunshow

也歡迎大家轉載本篇文章。分享知識，造福人民，實現我們中華民族偉大復興！

         由於昨天在內網伺服器A不小心rm -fr / ，導致伺服器A完蛋，重灌系統後，不知道啥原因，區域網癱瘓不能上網，最後發現內網伺服器A的一個程序sfewfesfs cpu 300%。

1、病毒現象

伺服器不停向外網傳送資料包，佔網絡帶寬，甚至導致路由器頻繁重啟。

1) 通過top 或者ps -ef 發現名為sfewfesfs的程序還有.sshddXXXXXXXXXXX（一串隨機數字）的程序。/etc/下能看到名為sfewfesfs，nhgbhhj等多個奇怪名字的檔案。重啟後一插網線立即開始執行

2）通過sar -n DEV 就可以看到往外發包的情況。

3）netstat -natlp 可以看到使用哪些埠

2、分析可能原因

曾一度懷疑是安裝u盤的問題，安裝盤是u盤製作的系統安裝引導盤，裝入系統之前是格式化了。看了網上的資料，應該不是，U盤的問題。

應該開放了伺服器的ssh的22埠，並且開放ssh的遠端root登陸。這個伺服器又可以通過路由器代理進來，並且登陸密碼也不是那麼複雜。可能被黑了。

22埠的root許可權還是不要開了，no　zuo　no　die，頭一次經歷linux中毒曾一度以為是很安全的作業系統。

3、解決辦法

1）先看看被攻擊者修改過的：/etc/rc.local檔案：

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

這是修改過的內容。
這裡可以看到，他啟動一系列的程序，並且最後還把防火牆給你關掉了。
那現在好辦了。先找到以上對應的所有檔案全部刪除。

2）刪除病毒檔案sfewfesfs

進到/etc/ 下面找到與程序對應的檔名 刪掉。

sudo chattr -i /etc/sfewfesfs*  

sudo rm -rf /etc/sfewfesfs*

3） 刪除.SSH2和.SSHH2

這個時候還是不行的，因為這程式啟動後，會衍生出很多的程序。這個時候，找到/etc/下的.SSH2和.SSHH2刪掉。之後找到/tmp/下面所有以.SSH開始的檔案，全部刪掉。

用ls -al看到.SSH2隱藏檔案，刪除

rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;

/etc和/tmp可能有.sshdd1401029348隱藏檔案 用ls -al看到，刪除
sudo rm -rf /tmp/.sshdd140*

4）刪除計劃任務：

到/var/spool/cron/下面把root 和root.1刪掉。

sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1

這個時候，病毒程式基本清楚完整了。

5）22埠的root許可權還是不要開了：

修改外網對映22埠到XXXX
修改root密碼
passwd

關閉root的22許可權
在/etc/ssh/sshd_config檔案中找到PermitRootLogin去掉#改成
PermitRootLogin no

5）重啟伺服器

給我老師的人工智慧教程打call！http://blog.csdn.net/jiangjunshow