linux解决病毒系列之一,删除十字符libudev.so病毒文件
前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。
用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。
我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。
这病毒怎么解决了?
比如病毒为:abcdefjhee
1.which abcdefjhee
会发现病毒在 /usr/bin/abcdefjhee 这里
2.cat /etc/crontab 查看定时任务
你会发现定时任务,其余几个定时任务你可查看
3.开干病毒
kill -stop 病毒进程
4.锁定相关目录,暂时不要让新文件生成
chmod 000 /usr/bin/abcdefjhee
chattr +i /usr/bin
chattr +i /bin/
chattr +i /tmp/
5.然后cat /etc/crontab 打开文件,你会看到脚本有个/etc/cron.hourly/gcc.sh的文件
6.然后
cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
7.然后找到位置,把病毒文件删除掉
8.然后吧定时任务中文件删掉
rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
9.移除跟这个病毒相关的信息
find /etc -name '*abcdefjhee*' | xargs rm -f
10.rm -f /usr/bin/abcdefjhee
11.查看最近的运行的命令,奇怪的删掉
ls -lt /usr/bin | head
12.杀死病毒进程
pkill abcdefjhee
13.把最开始文件权限打开
chattr -i /usr/bin
chattr -i /bin/
chattr -i /tmp/
最后用top 在观察,chkconfig --list 查看是否有异常应用占用网络带宽
基本搞定...
这次让我明白了,服务器要做好监控了,不然病毒来了,不好解决
linux解决病毒系列之一,删除十字符libudev.so病毒文件相关推荐
- linux感染十字符病毒,linux下如何刪除十字符libudev.so病毒文件
服務器不停的向外發包,且CPU持續100%,遠程登錄后查看發現有一長度為10的隨機字符串進程,kill掉,會重新生成另外長度為10的字符串進程.刪除文件也會重復生成,非常痛苦.查閱crond相關日志, ...
- jstack 脚本 自动日志_在 Linux 中使用 Bash 脚本删除早于 “X” 天的文件/文件夹...
该脚本可防止来自 监控工具 的警报,因为我们会在填满磁盘空间之前删除旧的日志文件. -- Magesh Maruthamuthu(作者) 磁盘使用率 监控工具能够在达到给定阈值时提醒我们.但它们无法自 ...
- linux 老文件自动删除,Linux计划任务之自动删除n天前的旧文件
find 对应目录 -mtime +天数 -name "文件名" -exec rm -rf {} \; 例1: find /usr/local/backups -mtime +10 ...
- linux单用户模式删除文件,如何在Linux上使用Tmpwatch/Tmpreaper删除早于N天的文件
您可能错过了删除计算机上某个目录中不再需要的文件的操作. 它可能已经成长了一段时间. 如果有足够的存储空间,则应删除它们,因为这会在列出文件时减慢系统速度. 同样,当一个目录中有成千上万个文件时,它可 ...
- linux自动删除30天前的日志文件
linux应用总结: 自动删除n天前的日志文件: 1. 使用的命令格式如下:find 对应目录 -mtime +天数 -name "文件名" -exec -rm -rffind / ...
- linux十字符木马,Linux系统随机10字符病毒的清除
故障表现: 登陆服务器执行sar –n DEV,查得向外流量输出达到120Mbit/s多,cacti显示占满总出口流量 故障判断:关闭所有对外应用服务,即tomcat.nginx.vsftp,但关闭之 ...
- linux感染十字符病毒,十字符病毒,杀不死的小强,一次云服务器沦陷实录
一.现象 接到客户的电话,说自己的云服务器被提供商禁止访问了,原因是监测到网络流量暴满,服务器不停的向外发包,在确认客户没有业务量突增的情况下,初步判断可能服务器遭受了流量攻&击(DDOS), ...
- ida so 不root_十字符病毒,杀不死的小强,一次云服务器沦陷实录
一.现象 接到客户的电话,说自己的云服务器被提供商禁止访问了,原因是监测到网络流量暴满,服务器不停的向外发包,在确认客户没有业务量突增的情况下,初步判断可能服务器遭受了流量攻&击(DDOS), ...
- Linux Shell脚本入门教程系列之(十六) Shell输入输出重定向
本文是Linux Shell系列教程的第(十六)篇,更多Linux Shell教程请看:Linux Shell系列教程 Shell中的输出和输入的重定向是在使用中经常用到的一个功能,非常实用,今天就为 ...
最新文章
- TRUNK配置详细讲解
- linux以非root身份运行,以非root用户身份在linux中运行mono-service
- ios 悬浮窗_多达2000个频道,支持7天回看!这才是我要的看电视app(安卓/ios)...
- 小白重装系统教程_重装解决99%的电脑问题:小白U盘重装系统教程
- Python3--批量爬取数据之调金山词霸api进行翻译
- 再见切赫!斯坦福桥“坦克兵”不止是蓝军传奇
- MySQL隧道创建方式
- SSL延迟有多大 (Https)
- 【Mysql】win10上Mysq的l安装
- perl 中部分正则表达式中匹配非空字符和正常使用字符
- android+查看内存容量apk,如何检查 Android 应用的内存使用情况
- 银监会计算机知识点,2015国考银监会计算机专业考试分析
- golang下的条件编译
- 怎样让开源项目看起来“高大上”
- 剑圣一族x8鼠标驱动v1.21加强版
- CSS文字加粗,字体,颜色渐变,消失总结
- 【Java 8 新特性】Java CompletableFuture thenApply()
- 苹果企业签名独立、非独立什么意思?
- [AutoVue开发手册]第二篇——AutoVue之Applet参数列表
- html上下滑动视频代码,h5 实现视频手势上下屏滑动 (类似抖音)
热门文章
- 路由重分发中尽然忘记了这件事
- shell 做加法运算_C语言探索之旅 | 第一部分第七课:运算那点事
- excluded by a filter_A. Manthiram:碲入硫,锂更稳!
- Android入门第十五篇之ActivityGroup + GridView 实现Tab分页标签
- postman发送object_.NetCore HttpClient发送请求的时候为什么自动带上了一个RequestId头部...
- python excel操作xlrd_python操作Excel读写--使用xlrd
- python时间格式化代码_Python datetime格式化代码
- 信号与系统 计算机,《信号与系统》计算机练习——利用MATLAB
- java 重试_Java重试机制修改
- 在java中使用关键字导入包_java中import关键字的使用方法