今天某專案經理反饋學校的某台伺服器不停的向外發包,且cpu持續100%,遠端登入後檢視發現有一長度為10的隨機字串程序,kill掉,會重新生成另外長度為10的字串程序。刪除檔案也會重複生成,非常痛苦。查閱crond相關日誌,發現實際執行的內容為/lib/libudev.so ,以此為關鍵字進行查詢,找到如下內容:
網路流量暴增,使用 top 觀察有至少乙個 10 個隨機字母組成的程式執行,占用大量 cpu 使用率。刪除這些程式,馬上又產生新的程式。
檢查 /etc/crontab 每三分鐘執行 gcc.sh
*/3 * * * * root /etc/cron.hourly/gcc.sh
檢視病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。
[root@deyu ~]# cat /etc/cron.hourly/gcc.sh#!/bin/sh
path=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/x11r6/bin
for i in `cat /proc/net/dev|grep :|awk -f: `; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 無法變動,否則馬上又會產生。
[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
使用 top 檢視病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程式,否則會再產生,而是停止其運作。
[root@deyu ~]# kill -stop 16621
刪除 /etc/init.d 內的檔案。
[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f
刪除 /usr/bin 內的檔案。
[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa
檢視 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。
[root@deyu ~]# ls -lt /usr/bin | head
現在殺掉病毒程式,就不會再產生。
[root@deyu ~]# pkill mtyxkeaofa
刪除病毒本體。
[root@deyu ~]# rm -f /lib/libudev.so
使用此方法 可以完全清除此病毒。
周i記一則
這一周,我們小組開展了第一次會議,我學會了自己安裝軟體,也經歷了很多波折,自己把軟體安裝成功了,現在我就希望自己能夠學會好好的運用它,而且第一次有了一種學習很多知識的衝動,第一次感覺自己不是以前的小孩子了。現在存在的問題就是如何學會使用安裝的兩個軟體的問題了,希望在下一周自己能在這方面有很大的進步,...
linux學習一則
先後 第一步 通過 boot vm進行啟動 vmlinuz 第二步 init etc inittab 第三步 啟動相應的指令碼,並且開啟終端 rc.sysinit rc.d 裡面的指令碼 rc.local 第四步 啟動login登入介面 login 第五步 在使用者登入的時候執行sh指令碼的順序 每...
Mysql的優化一則
目的在於這麼乙個sql語句 select w.from wall w inner join wall category relation r on w.wall id r.wall id where r.category level1 id 39 and w.is online 1 order by...