這種病毒是進行了自我保護的，直接刪除文件或修改文件都會導致其變身重新復制，需逐步清除：

這個木馬的主程序是：/lib/libudev.so

1、一般來說，病毒會在cron.hourly里面有sh腳本(gcc.sh)，可以cat查看后找到其宿主程序：
libudev.so libudev.so.6
清除之：
cp /dev/null /lib/libudev.so
cp /dev/null /lib/libudev.so.6

2、對自動啟動服務 init 進行清理：
/etc/init.d 下面應該會有運行期的病毒程序，分別處理之
chmod 000 /etc/init.d/ymcxxvpc
chmod 000 /etc/init.d/xhyxxsjdtb
chattr +i /etc/init.d/

3、對計劃任務進行清理：
chmod 000 /etc/cron.hourly/*
chmod 000 /etc/cron.hourly/.
chattr +i /etc/cron.hourly/
chattr +i /etc/crontab

4、對病毒的運行目錄進行保護：
chattr +i /etc/
chattr +i /usr/bin/ /bin/

5、kill掉運行的病毒 kill -9 … 或者 干脆重啟服務器

6、開始清理病毒殘余
rm -f /usr/bin/… (或 rm -f /bin/… ) 病毒文件，在ssh的文件管理界面看出，一一干掉
chattr -i /etc/ /etc/crontab
vi /etc/crontab 刪除病毒的計劃任務
chattr -i /etc/cron.hourly/
rm -f /etc/cron.hourly/. 刪除病毒的計劃任務程序
rm -f /etc/cron.hourly/*
rm -f /etc/init.d/… 刪除病毒及鏈接文件
rm -f /etc/rc0.d/… rc1 rc2 rc3 rc4 rc5 rc6 …

最后記得把關鍵的目錄 如 /etc /usr/bin 等解開保護，否則搞不好服務器都重啟不了

完成后，進行必要的文件保護：
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
chattr +i /etc/crontab /etc/cron.hourly

總結

以上是生活随笔為你收集整理的centos随机名、自我保护的木马病毒 清除小记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。