上传文件的时候发现总是失败,查看top发现有个进程一直cpu占用80%以上,而且名称还是随机数。kill之后,一会儿又重新生成了。突然发现居然没有在服务端杀毒的经历。在此处补齐。
<a href="http://www.linuxdiyf.com/linux/18635.html">http://www.linuxdiyf.com/linux/18635.html</a>
<a href="http://www.linuxidc.com/Linux/2013-09/90021.htm">http://www.linuxidc.com/Linux/2013-09/90021.htm</a>
<a href="http://www.linuxidc.com/Linux/2013-08/88981.htm">http://www.linuxidc.com/Linux/2013-08/88981.htm</a>
-r表示文件夹递归
/usr/bin是病毒扫描目录
-l 是小写的L,后面是日志文件
--remove是删除掉病毒,但如果害怕误删除应该--move.不过我就直接删除了。
结果:
然后查看日志:
看到几个病毒文件给删除。然后病毒原体libudev.so也删除。还以为皆大欢喜,可以睡觉了。谁知道过了没多久,又看到病毒肆虐了。第一次这么仇恨病毒。于是百度 libudev.so找到很多随机10字母病毒的文章。按照顺序删除文件,效果还不错。
上传文件到服务器,发现总是卡着。以为是网路问题,结果表明是系统繁忙。罪魁祸首是一个随机英文10字母的病毒。会在<code>/etc/init.d</code>下生成启动文件,会在<code>/usr/bin/xxxx</code>下生成<code>xxxx</code>文件。kill后会重新生成新的进程和文件。所以,必须找到病毒原体。
首先,查看定时任务。
没有任何任务。
发现一个gcc脚本,不是我们创建的,显然是病毒。查看发现原来在执行一个叫做libudev.so的脚本。
我手动删除了crontab里的任务,但发现很快又被创建了。所以必须停止掉进程。参考的几篇文章在最后,采用了如下做法:
kill -stop {pid} #查看top的pid,停止它而不是-9
chmod 000 /usr/bin/xxxxxxx && chattr +i /usr/bin 最后一个锁定目录,不允许添加。不允许添加很重要
cd /etc/init.d 然后删除不认识的启动项目
删除gcc.sh
删除crontab任务
删除 /lib/libude.so /lib/libudev.so.6
删除产生的文件
最后再删除一遍crontab里重新生成的任务
过一会,看看会不会产生信息的进程。如果没事了就解锁/usr/bin:
到目前为止,还没看到新的病毒产生。杀毒完成。
<a href="http://bbs.landingbj.com/t-0-254024-1.html">[原创]Linux下随机10字符病毒的清除</a>
唯有不断学习方能改变!
-- <b>Ryan Miao</b>
![linux-svn卸载与安装[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)