今天一天就在這搞病毒了,整得我都他媽快中病毒了。。。由於公司的基礎服務除了問題。被黑了,有大量的流量跑出,對我的直接影響就是ssh很難連上。。ping的丟包率竟然達到百分之六七十以上、、、進入系統一看有很多看似正常卻又不正常的進程!!!因爲:
ps -eaf
會出現不同的進程並且是自己隨時改變的進程!!!
這次遇到的是十字節病毒!
它的特點就是進程殺不死。很吃CPU,吃的你蛋疼!進程殺不死是不是有什麼監聽程序,一旦殺死就會自己再生成。這只是我自己瞎想的!
top
你會發現有個十個字符的進程在佔了很大的CPU
which ****(十字符)
/usr/bin/****
原來是在/usr/bin 下
(1)crond任務
停掉 service crond stop
chkconfig crond off
會發現 /etc/crontab 下有個莫名奇妙的任務在三分鐘執行一次。該腳本名字類似gcc3.sh
可以打開gcc3.sh
你會發現病毒的主程序在/lib/libdev4.so
確定把他刪掉!
再去放腳本的地方叫腳本刪掉
(2)啓動
確定是:chmod 000 /etc/init.d/*****
rm -rf /etc/init.d/****
(3)/usr/bin下處理
取消該命令的執行權限
chmod 000 /usr/bin/*****
把那個目錄鎖定不能讓任何病毒寫入。。
chattr +i /usr/bin
(4)主程序
我們不應該去刪除/lib/下那個主程序!他還會自動生成的!
重新啓動系統!
再去刪除。你會發現那個主程序不會再出現!
top 看下是否還有異常程序生成!
開啓crond任務 chkconfig crond on
service crond start
chattr -i /usr/bin
pstree 看下有沒有異常程序
ps -eaf
刷新一下!!檢查是否存在異常程序!
參考文章: http://www.hackbase.com/article-2798-1.html