介绍

由于昨天在内网服务器A不小心rm -fr / ，导致服务器A完蛋，重装系统后，不知道啥原因，局域网瘫痪不能上网，最后发现内网服务器A的一个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。于是百度这个病毒：都说该病毒很变态。第一次中linux病毒，幸亏是内网，感觉比较爽。（总结网络内容，引以为戒）

1、病毒现象

服务器不停向外网发送数据包，占网络带宽，甚至导致路由器频繁重启。

1. 通过top 或者ps -ef
  发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX（一串随机数字）的进程。/etc/下能看到名为sfewfesfs，nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行
2）通过sar -n DEV 就可以看到往外发包的情况。
3）netstat -natlp 可以看到使用哪些端口

2、分析可能原因

曾一度怀疑是安装u盘的问题，安装盘是u盘制作的系统安装引导盘，装入系统之前是格式化了。看了网上的资料，应该不是，U盘的问题。
应该开放了服务器的ssh的22端口，并且开放ssh的远程root登陆。这个服务器又可以通过路由器代理进来，并且登陆密码也不是那么复杂。可能被黑了。
22端口的root权限还是不要开了，no　zuo　no　die，头一次经历linux中毒曾一度以为是很安全的操作系统。

1）先看看被攻击者修改过的：/etc/rc.local文件：

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

这是修改过的内容。
这里可以看到，他启动一系列的进程，并且最后还把防火墙给你关掉了。
那现在好办了。先找到以上对应的所有文件全部删除。

2）删除病毒文件sfewfesfs
进到/etc/ 下面找到与进程对应的文件名删掉。

sudo chattr -i /etc/sfewfesfs*
sudo rm -rf /etc/sfewfesfs*

3）删除.SSH2和.SSHH2
这个时候还是不行的，因为这程序启动后，会衍生出很多的进程。这个时候，找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件，全部删掉。

用ls -al看到.SSH2隐藏文件，删除

rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;

/etc和/tmp可能有.sshdd1401029348隐藏文件用ls -al看到，删除

sudo rm -rf /tmp/.sshdd140*

4）删除计划任务：

到/var/spool/cron/下面把root 和root.1删掉。

sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1

这个时候，病毒程序基本清楚完整了。
5）22端口的root权限还是不要开了：
修改外网映射22端口到XXXX
修改root密码

passwd

关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成

PermitRootLogin no

5）重启服务器

参考链接：

http://blog.csdn.net/hguisu/article/details/40652433

linux 病毒 sfewfesfs相关推荐

linux病毒sfewfesfs
linux病毒sfewfesfs 由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cp ...
linux 病毒脚本,解析常见的Linux病毒
Linux的用户也许听说甚至遇到过一些Linux病毒,这些Linux病毒的原理和发作症状各不相同,所以采取的防范方法也各不相同. 为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类 ...
新型 Linux 病毒，脚本超 1000 行，功能复杂
俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型木马,相比传统恶意 Linux 病毒,它更加复杂,同时也包含了大量恶意功能. 该木马是一个包含 100 ...
袁萌：Linux病毒为何不会泛滥成灾？
大家知道,Linux不是没有病毒,而是Linux病毒不易四处传播,感染他人.此话,根据何在? 2月28日,看了<第一财经日报>一篇报道,题为"揭秘病毒产业链运作:操纵流量一年获益 ...
一个Linux病毒艰辛短暂的一生
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 原贴:h ...
Linux病毒研究与分析
前言: 在我们日常生活中早就对windows中的病毒习惯了,对付windows中的病毒.我们有很多办法:杀毒软件.专杀工具等,但是这些东西往往主要集中在windows这一领域. 随着网络的发展,很多企 ...
查杀我这辈子有幸遇到的第一个Linux病毒 (by quqi99)
作者:张华发表于:2021-08-17 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明问题本人有一个腾讯虚机,昨天忽然ssh不上去了,控制台重启之后就又上 ...
linux 病毒类型,linux系统常见的一些病毒类型和防范
Linux的用户也许听说甚至遇到过一些Linux病毒,这些Linux病毒的原理和发作症状各不相同,所以采取的防范方法也各不相同. 为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类 ...
linux中sfewfesfs病毒删除记
现象: 中招的2个机子系统是scientific linux 6.5 64bit.几乎将系统整个上传带宽都用尽了,一直向外部发送数据,造成网络堵塞.找到病毒文件无法正常删除,需要变更文件属性.删除后自 ...

linux 病毒 sfewfesfs

介绍

1、病毒现象

2、分析可能原因

linux 病毒 sfewfesfs相关推荐

最新文章

热门文章