记一则Linux病毒的处理

今天某项目经理反馈学校的某台服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:

  1. 網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。
  2. 檢查 /etc/crontab 每三分鐘執行 gcc.sh
    */3 * * * * root /etc/cron.hourly/gcc.sh
    
  3. 查看病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。
    [[email protected] ~]# cat /etc/cron.hourly/gcc.sh
    #!/bin/sh
    PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
    for i in `cat /proc/net/dev|grep :|awk -F: {‘print $1‘}`; do ifconfig $i up& done
    cp /lib/libudev.so /lib/libudev.so.6
    /lib/libudev.so.6
    
  4. 刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 無法變動,否則馬上又會產生。
    [[email protected] ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
    
  5. 使用 top 查看病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程序,否則會再產生,而是停止其運作。
    [[email protected] ~]# kill -STOP 16621
    
  6. 刪除 /etc/init.d 內的檔案。
    [[email protected] ~]# find /etc -name ‘*mtyxkeaofa*‘ | xargs rm -f
    
  7. 刪除 /usr/bin 內的檔案。
    [[email protected] ~]# rm -f /usr/bin/mtyxkeaofa
    
  8. 查看 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。
    [[email protected] ~]# ls -lt /usr/bin | head
    
  9. 現在殺掉病毒程序,就不會再產生。
    [[email protected] ~]# pkill mtyxkeaofa
    
  10. 刪除病毒本體。
    [[email protected] ~]# rm -f /lib/libudev.so

使用此方法 可以完全清除此病毒。

原文地址:https://www.cnblogs.com/weifeng1463/p/9450976.html

时间: 2024-11-13 21:09:24

记一则Linux病毒的处理的相关文章

Linux 病毒检测

推荐迁出重要文件后重装系统 1 Linux 病毒检测 1.1 查找最近登陆 1.1.1 检查系统错误登陆日志,统计IP重试次数 lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more 1.1.2 查看最近登录的账户和登录时间 last # 查看最近成功登陆的用户: lastlog # 查看每个用户最后一次登陆的时间: 1.1.3 查找远程登录成功的IP: grep -i Accepted /var/log/secure 1.

linux 病毒 sfewfesfs

由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cpu 300%.路由器被网络阻塞啦. 于是百度这个病毒:都说该病毒很变态.第一次中linux病毒,幸亏是内网,感觉比较爽.(总结网络内容,引以为戒) 1.病毒现象 服务器不停向外网发送数据包,占网络带宽,甚至导致路由器频繁重启. 1) 通过top 或者ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX

认识Linux病毒并做好操作系统防护工程

对使用Windows的人来说,病毒无处不在,各种各样的新型病毒层出不穷,近年来,一种类似Unix的操作系统也在发展壮大,开始走进我们的视野,并在各领域内得到应用,它就是Linux系统,对于受病毒困扰的用户来说,Linux会是一块没有病毒的乐土吗? 一.当心Linux病毒 在Linux出现之初,由于其最初的优秀设计,似乎具有先天病毒免疫能力,所以当时有许多人相信不会有针对Linux的病毒出现,但是Linux终于也不能例外.1996年秋,澳大利亚一个叫VLAD的组织用汇编语言编写了据称是Linux系

各个击破Linux病毒 保护Linux系统安全

对使用Windows的人来说,病毒无处不在,各种各样的新型病毒层出不穷,近年来,一种类似Unix的操作系统也在发展壮大,开始走进我们的视野,并在各领域内得到应用,它就是Linux系统,对于受病毒困扰的用户来说,Linux会是一块没有病毒的乐土吗? 一.当心Linux病毒 在Linux出现之初,由于其最初的优秀设计,似乎具有先天病毒免疫能力,所以当时有许多人相信不会有针对Linux的病毒出现,但是 Linux终于也不能例外.1996年秋,澳大利亚一个叫VLAD的组织用汇编语言编写了据称是Linux

与linux 病毒的一次接触

环境说明: 1.linux 版本信息 Linux version 2.6.18-308.el5PAE ([email protected]) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-50)) #1 SMP Fri Jan 27 17:40:09 EST 2012 2.两台服务器安装有双机软件 ,linux版本相同 现象: 用户反映双机软件有问题了,远程连过去奇慢无比,后来他们机房的人员发现这两台服务器异常,拨掉其中一台的网线后,网络恢复正常. 具体检

linux病毒 (LPV)

---------感染技术text 段感染,同会时自我复制---------//=免责声明=此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!! //在ELF可执行文件内的UNIX病毒感染. //行为: //病毒将自身复制到其具有写入权限的第一个未受感染的可执行文件中, //

Z形记之Linux的那些事:安装Nginx

前段时间正在学习服务器部署,但由于公司正好碰上几个项目要赶着上线,帮着其他组做项目去了,服务器的部署就耽搁了.昨天重新在CentOS6.6上安装了Nginx,也正好记录一下安装中碰到的一些问题. setup是我们公司安装应用服务器时的一个目录,里面包含nginx.tomcat.postgreSql数据库等,这里我就不多扯了. 1 cd /usr/setup 2 rm ./nginx-1.4.7 -r -f 3 tar zxvf nginx-1.4.7.tar.gz 4 cp ./headers-

记一个linux零基础的人搞阿里云ECS服务器中遇到的坑(系统为ubuntu)

概述: 因为最近研究python网络爬虫方面的知识比较多,于是租了一台阿里云(本文非广告)的云服务器(系统为ubuntu)作为学习之用,由此开始了本人的受苦之路,整理了到目前为止遇到的坑,与各位萌新共勉 遇到的坑: (作为一个linux初学者有些问题确实看起来很傻,但是确实是本人被困扰过的问题,各位大神勿喷ORZ) 1.纯命令行模式下的指令 这个大概是所有习惯windows操作的人总要面临的一个问题,如果是虚拟机还好说,我们有GUI来抚慰自己的心灵,但是作为一个只有shell的服务器,我还有什么

linux 病毒virus(text 逆向、PLT\GOT HOOK)

免责声明:源码仅供学习,非法使用与作者无关!!!源码仅供学习,非法使用与作者无关!!!源码仅供学习,非法使用与作者无关!!! 随机感染目录下所有 elf 文件: char *dirs[4] = {"/sbin", "/usr/sbin", "/bin", "/usr/bin" }; virus.c /* * 编译: * gcc -g -O0 -DANTIDEBUG -DINFECT_PLTGOT -fno-stack-prot