linux解决病毒系列之一,删除十字符libudev.so病毒文件
前兩天被服務器商通知服務器帶寬流量增加,我想了想我們服務走的內網,沒有什么大的帶寬占用,于是我馬上登錄服務器。
用top命令查看運行情況,我擦,有一個進程吃了很高的cup,于是我趕緊用kill -9 殺掉。本以為結束了,然后過了幾分鐘,流量又增加了。
我擦,再次用top命令查看一下,我暈又有一個隨之字符串的進程出現...如此看來是中病毒了。
?
這病毒怎么解決了?
比如病毒為:abcdefjhee
1.which abcdefjhee
會發現病毒在 /usr/bin/abcdefjhee 這里
2.cat /etc/crontab 查看定時任務
你會發現定時任務,其余幾個定時任務你可查看
3.開干病毒
kill -stop 病毒進程
4.鎖定相關目錄,暫時不要讓新文件生成
chmod 000 /usr/bin/abcdefjhee
chattr +i /usr/bin
chattr +i /bin/
chattr +i /tmp/
?
5.然后cat /etc/crontab 打開文件,你會看到腳本有個/etc/cron.hourly/gcc.sh的文件
?
6.然后
cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
7.然后找到位置,把病毒文件刪除掉
8.然后吧定時任務中文件刪掉
rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
9.移除跟這個病毒相關的信息
find /etc -name '*abcdefjhee*' | xargs rm -f
10.rm -f /usr/bin/abcdefjhee
11.查看最近的運行的命令,奇怪的刪掉
ls -lt /usr/bin | head
12.殺死病毒進程
pkill abcdefjhee
13.把最開始文件權限打開
chattr -i /usr/bin
chattr -i /bin/
chattr -i /tmp/
最后用top 在觀察,chkconfig --list 查看是否有異常應用占用網絡帶寬
?
基本搞定...
這次讓我明白了,服務器要做好監控了,不然病毒來了,不好解決
總結
以上是生活随笔為你收集整理的linux解决病毒系列之一,删除十字符libudev.so病毒文件的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 关于javascript的原型和原型链,
- 下一篇: python 操作数据库的常用SQL命令