最新消息:欢迎各位老板亲临筱筱易!

Centos/Linux 10字符串命令病毒的处理方法

处理十字符串病毒

网络安全 shenmor 50浏览 0评论

症状:CPU持续100%,查看进程发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:

1,网络流量暴增,使用 top 观察有至少一个10 个字母随机组成的程序在运行,佔用大量 CPU 使用率。删除这些程序,马上又产生新的程序。

2,检查 /etc/crontab 每三分钟执行 gcc.sh

*/3 * * * * root /etc/cron.hourly/gcc.sh

3,查看病毒程式 gcc.sh,可以看到病毒本体是 /lib/libudev.so。

cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

4,删除上一行例行工作 gcc.sh,并设定 /etc/crontab 无法变动,否则马上又会产生。

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

5,使用 top 查看病毒为 mtyxkeaofa,id 为 16621,不要直接杀掉程序,否则会再产生,而是停止其运作。

[root@deyu ~]# kill -STOP 16621

6,删除 /etc/init.d 内的档案。

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f

7,删除 /usr/bin 内的档案。

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa

8,查看 /usr/bin 最近变动的档案,如果是病毒也一併删除,其他可疑的目录也一样。

[root@deyu ~]# ls -lt /usr/bin | head

9,现在杀掉病毒程序,就不会再产生。

[root@deyu ~]# pkill mtyxkeaofa

10,删除病毒本体。

[root@deyu ~]# rm -f /lib/libudev.so

到此,病毒删除完成。

转载请注明:筱筱易的博客»Centos/Linux 10字符串命令病毒的处理方法

发表我的评论
 

网友最新评论()



    评论加载中...