查看/proc/_pid/cmdline里面全是偽造信息，隨機產(chǎn)生ps、su、top等命令；

由于病毒產(chǎn)生大量的流量，先使用iptables封掉出口IP，當病毒檢測流量發(fā)布出去后會進入監(jiān)聽狀態(tài)，監(jiān)聽端口；

想到病毒一般都會有檢測機制，所以查找其根文件，crontab、/etc/rc.d/init.d、/etc/rc3.d/、/etc/rc.d/rc.local、systemd，查看這些相關文件，果然有收獲：

查看/etc/cron.hourly里面的gcc文件：

到/lib目錄下，查看病毒文件，發(fā)現(xiàn)是可執(zhí)行的文件，進行如下操作：

a)????file? libudev.so查看文件內容

b)????rm –rf /lib/libudev.so &chattr +i /lib；限制/lib目錄寫入文件

c)????然后回到/etc/cron.hourly目錄下，刪除gcc4.sh文件；

lsof? -R|grep “/usr/bin”查看進程，發(fā)現(xiàn)隨機產(chǎn)生的命令其ppid（夫進程）為1，則跟/etc/init.d某個服務有關，查看：

到/etc/init.d下查看，有病毒文件：

查看病毒文件：

所以病毒會在/bin下產(chǎn)生，遂進行刪除，刪除后發(fā)現(xiàn)會重新生成，決定先鎖住/bin目錄（我之前刪了好久，就是忘了這一步，不然可以省掉很多時間！哭！）：

a)????rm –rf /usr/bin/asdjhrsdrf? &?chattr +i /usr/bin

此時病毒如果還是在的，top看一下，然后刪除主進程，刪除病毒產(chǎn)生的相關文件就ok了！