服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:
1.網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。
2.檢查 cat /etc/crontab 发现定时任务 每三分鐘執行gcc.sh
|
1
|
*
/3
* * * * root
/etc/cron
.hourly
/gcc
.sh
|
3.查看病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。
|
1
2
3
4
5
6
|
[root@deyu ~]
# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=
/bin
:
/sbin
:
/usr/bin
:
/usr/sbin
:
/usr/local/bin
:
/usr/local/sbin
:
/usr/X11R6/bin
for
i
in
`
cat
/proc/net/dev
|
grep
:|
awk
-F: {
'print $1'
}`;
do
ifconfig
$i up&
done
cp
/lib/libudev
.so
/lib/libudev
.so.6
/lib/libudev
.so.6
|
4.刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 無法變動,否則馬上又會產生。
|
1
|
[root@deyu ~]
# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
|
5.使用 top 查看病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程序,否則會再產生,而是停止其運作。
|
1
|
[root@deyu ~]
# kill -STOP 16621
|
6.刪除 /etc/init.d 內的檔案。
|
1
|
[root@deyu ~]
# find /etc -name '*mtyxkeaofa*' | xargs rm -f
|
7.刪除 /usr/bin 內的檔案。
|
1
|
[root@deyu ~]
# rm -f /usr/bin/mtyxkeaofa
|
8.查看 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。
|
1
|
[root@deyu ~]
# ls -lt /usr/bin | head
|
9.現在殺掉病毒程序,就不會再產生。
|
1
|
[root@deyu ~]
# pkill mtyxkeaofa
|
10.刪除病毒本體。
|
1
|
[root@deyu ~]
# rm -f /lib/libudev.so
|
使用此方法 可以完全清除此病毒。
本文转自 xinsir999 51CTO博客,原文链接:http://blog.51cto.com/xinsir/1794529,如需转载请自行联系原作者
