病毒表现:
网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首。杀死该进程后,会再随机产生一个新的进程。
清楚病毒步骤:
查看/proc/_pid/cmdline里面全是伪造信息,随机产生ps、su、top等命令;
由于病毒产生大量的流量,先使用iptables封掉出口IP,当病毒检测流量发布出去后会进入监听状态,监听端口;
想到病毒一般都会有检测机制,所以查找其根文件,crontab、/etc/rc.d/init.d、/etc/rc3.d/、/etc/rc.d/rc.local、systemd,查看这些相关文件,果然有收获:
这个病毒居然会定时!!!果断注释掉这行,先别删,不然会自动创建;
查看/etc/cron.hourly里面的gcc文件:
太6了,防不胜防啊,居然会在/lib目录下做手脚,
邪不胜正,咱们搞定它!
到/lib目录下,查看病毒文件,发现是可执行的文件,进行如下操作:
a) file libudev.so查看文件内容
b) rm –rf /lib/libudev.so &chattr +i /lib;限制/lib目录写入文件
c) 然后回到/etc/cron.hourly目录下,删除gcc4.sh文件;
lsof -R|grep “/usr/bin”查看进程,发现随机产生的命令其ppid(夫进程)为1,则跟/etc/init.d某个服务有关,查看:
到/etc/init.d下查看,有病毒文件:
查看病毒文件:
所以病毒会在/bin下产生,遂进行删除,删除后发现会重新生成,决定先锁住/bin目录(我之前删了好久,就是忘了这一步,不然可以省掉很多时间!哭!):
a) rm –rf /usr/bin/asdjhrsdrf & chattr +i /usr/bin
此时病毒如果还是在的,top看一下,然后删除主进程,删除病毒产生的相关文件就ok了!
