1、現象 1)cpu使用超高 2)網絡流量異常 3)伺服器卡頓 2、表現 1)top指令,一個随機檔案在運作,且kill後會生成新的随機檔案名再次運作。
2)chkconfig --list | grep on
這裡還被設定成了開機啟動
--------------------------------------------------------------------------------------------------------------
清除思路:
由于運作程序有多個互相保護(參考一下pstree),而且和病毒檔案直接也是互相配合,如果直接删除也會重新生成一個新的病毒檔案,是以清除的基本的思路是:删除定時任務中的病毒啟動--->破壞病毒檔案使其不可執行(不要删除,否會自動生成)--->停止系統病毒程序--->删除病毒檔案--->清理感染檔案--->關閉病毒開機啟動
以下清除可以自由組合,按上面清除思路排列即可!
3、安裝clamav掃描并删除感染檔案 <1> yum install -y epel-release <2> yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y freshclam 更新資料庫 <3> 掃描根目錄:clamscan -r / --max-dir-recursion=5 -l /root/clamav.log <4> 删除感染的檔案:cat clamav.log | grep FOUND(rm删除其檔案) 4、重裝應用并殺死程序 1)還原檔案 yum -y reinstall procps lsof iproute net-tools 2)檢視程序樹 pstree systemd─┬─AliYunDun───15*[{AliYunDun}] ├─AliYunDunUpdate───3*[{AliYunDunUpdate}] ├─2*[agetty] ├─aliyun-service───6*[{aliyun-service}] ├─atd ├─auditd───{auditd} ├─consul───6*[{consul}] ├─crond───crond───freshclam-sleep───sleep ├─dbus-daemon ├─dockerd-current─┬─docker-containe───6*[{docker-containe}] │ └─8*[{dockerd-current}] ├─lvmetad ├─nginx───nginx ├─ntpd ├─polkitd───5*[{polkitd}] ├─rsyslogd───2*[{rsyslogd}] ├─sshd───sshd───bash───pstree ├─systemd-journal ├─systemd-logind ├─systemd-udevd ├─tuned───4*[{tuned}] ├─ ucfzblbtus───3*[{ucfzblbtus}] └─ 5*[zmsuzppqmm] 3)檢視程序位置 ll /proc/23981 dr-xr-xr-x 2 root root 0 May 7 07:57 attr -rw-r--r-- 1 root root 0 May 7 07:57 autogroup -r-------- 1 root root 0 May 7 07:57 auxv -r--r--r-- 1 root root 0 May 7 07:57 cgroup --w------- 1 root root 0 May 7 07:57 clear_refs -r--r--r-- 1 root root 0 May 6 22:06 cmdline -rw-r--r-- 1 root root 0 May 7 07:57 comm -rw-r--r-- 1 root root 0 May 7 07:57 coredump_filter -r--r--r-- 1 root root 0 May 7 07:57 cpuset lrwxrwxrwx 1 root root 0 May 7 07:57 cwd -> /root -r-------- 1 root root 0 May 7 07:57 environ lrwxrwxrwx 1 root root 0 May 6 22:06 exe -> /usr/bin/ucfzblbtus ....... 4)關閉程序 pidof /usr/bin/ ucfzblbtus | xargs kill -9
5、清理剩餘檔案 1)删除異常計劃任務 <1> cat /etc/crontab # Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # | | .---------- day of month (1 - 31) # | | | .------- month (1 - 12) OR jan,feb,mar,apr ... # | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat # | | | | | # * * * * * user-name command to be executed
*/3 * * * * root /etc/cron.hourly/gcc.sh // 異常任務、删除該行 2)破壞病毒檔案 <1> cat /etc/cron.hourly.sh #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done cp /lib/libudev.so /lib/libudev.so.6 /lib/libudev.so.6 <2>破壞并删除 echo etes,tet> /lib/libudev.so
chmod a-x /lib/libudev.so
rm -f /lib/libudev.so /lib/libudev.so.6
3)删除/etc/cron.houtly 目錄下所有檔案 <1> cd /etc/cron.hourly/ <2> rm -fr *
4)關閉開機啟動 <1> chkconfig --list | grep on <2> chkconfig --del jesahrtrma <3> chkconfig --del nhwtcncubx