上傳檔案的時候發現總是失敗,檢視top發現有個程序一直cpu占用80%以上,而且名稱還是随機數。kill之後,一會兒又重新生成了。突然發現居然沒有在服務端殺毒的經曆。在此處補齊。
<a href="http://www.linuxdiyf.com/linux/18635.html">http://www.linuxdiyf.com/linux/18635.html</a>
<a href="http://www.linuxidc.com/Linux/2013-09/90021.htm">http://www.linuxidc.com/Linux/2013-09/90021.htm</a>
<a href="http://www.linuxidc.com/Linux/2013-08/88981.htm">http://www.linuxidc.com/Linux/2013-08/88981.htm</a>
-r表示檔案夾遞歸
/usr/bin是病毒掃描目錄
-l 是小寫的L,後面是日志檔案
--remove是删除掉病毒,但如果害怕誤删除應該--move.不過我就直接删除了。
結果:
然後檢視日志:
看到幾個病毒檔案給删除。然後病毒原體libudev.so也删除。還以為皆大歡喜,可以睡覺了。誰知道過了沒多久,又看到病毒肆虐了。第一次這麼仇恨病毒。于是百度 libudev.so找到很多随機10字母病毒的文章。按照順序删除檔案,效果還不錯。
上傳檔案到伺服器,發現總是卡着。以為是網路問題,結果表明是系統繁忙。罪魁禍首是一個随機英文10字母的病毒。會在<code>/etc/init.d</code>下生成啟動檔案,會在<code>/usr/bin/xxxx</code>下生成<code>xxxx</code>檔案。kill後會重新生成新的程序和檔案。是以,必須找到病毒原體。
首先,檢視定時任務。
沒有任何任務。
發現一個gcc腳本,不是我們建立的,顯然是病毒。檢視發現原來在執行一個叫做libudev.so的腳本。
我手動删除了crontab裡的任務,但發現很快又被建立了。是以必須停止掉程序。參考的幾篇文章在最後,采用了如下做法:
kill -stop {pid} #檢視top的pid,停止它而不是-9
chmod 000 /usr/bin/xxxxxxx && chattr +i /usr/bin 最後一個鎖定目錄,不允許添加。不允許添加很重要
cd /etc/init.d 然後删除不認識的啟動項目
删除gcc.sh
删除crontab任務
删除 /lib/libude.so /lib/libudev.so.6
删除産生的檔案
最後再删除一遍crontab裡重新生成的任務
過一會,看看會不會産生資訊的程序。如果沒事了就解鎖/usr/bin:
到目前為止,還沒看到新的病毒産生。殺毒完成。
<a href="http://bbs.landingbj.com/t-0-254024-1.html">[原創]Linux下随機10字元病毒的清除</a>
唯有不斷學習方能改變!
-- <b>Ryan Miao</b>
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)