前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。

用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。

我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。

这病毒怎么解决了?

比如病毒为:abcdefjhee

1.which abcdefjhee

会发现病毒在 /usr/bin/abcdefjhee 这里

2.cat /etc/crontab 查看定时任务

你会发现定时任务,其余几个定时任务你可查看

3.开干病毒

kill -stop 病毒进程

4.锁定相关目录,暂时不要让新文件生成

chmod 000 /usr/bin/abcdefjhee

chattr +i /usr/bin

chattr +i /bin/

chattr +i /tmp/

5.然后cat /etc/crontab 打开文件,你会看到脚本有个/etc/cron.hourly/gcc.sh的文件

6.然后

cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

7.然后找到位置,把病毒文件删除掉

8.然后吧定时任务中文件删掉
rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

9.移除跟这个病毒相关的信息
find /etc -name '*abcdefjhee*' | xargs rm -f

10.rm -f /usr/bin/abcdefjhee

11.查看最近的运行的命令,奇怪的删掉
ls -lt /usr/bin | head

12.杀死病毒进程
pkill abcdefjhee

13.把最开始文件权限打开
  chattr -i /usr/bin

  chattr -i /bin/

  chattr -i /tmp/

最后用top 在观察,chkconfig --list 查看是否有异常应用占用网络带宽

基本搞定...

这次让我明白了,服务器要做好监控了,不然病毒来了,不好解决

linux解决病毒系列之一,删除十字符libudev.so病毒文件相关推荐

  1. linux感染十字符病毒,linux下如何刪除十字符libudev.so病毒文件

    服務器不停的向外發包,且CPU持續100%,遠程登錄后查看發現有一長度為10的隨機字符串進程,kill掉,會重新生成另外長度為10的字符串進程.刪除文件也會重復生成,非常痛苦.查閱crond相關日志, ...

  2. jstack 脚本 自动日志_在 Linux 中使用 Bash 脚本删除早于 “X” 天的文件/文件夹...

    该脚本可防止来自 监控工具 的警报,因为我们会在填满磁盘空间之前删除旧的日志文件. -- Magesh Maruthamuthu(作者) 磁盘使用率 监控工具能够在达到给定阈值时提醒我们.但它们无法自 ...

  3. linux 老文件自动删除,Linux计划任务之自动删除n天前的旧文件

    find 对应目录 -mtime +天数 -name "文件名" -exec rm -rf {} \; 例1: find /usr/local/backups -mtime +10 ...

  4. linux单用户模式删除文件,如何在Linux上使用Tmpwatch/Tmpreaper删除早于N天的文件

    您可能错过了删除计算机上某个目录中不再需要的文件的操作. 它可能已经成长了一段时间. 如果有足够的存储空间,则应删除它们,因为这会在列出文件时减慢系统速度. 同样,当一个目录中有成千上万个文件时,它可 ...

  5. linux自动删除30天前的日志文件

    linux应用总结: 自动删除n天前的日志文件: 1. 使用的命令格式如下:find 对应目录 -mtime +天数 -name "文件名" -exec -rm -rffind / ...

  6. linux十字符木马,Linux系统随机10字符病毒的清除

    故障表现: 登陆服务器执行sar –n DEV,查得向外流量输出达到120Mbit/s多,cacti显示占满总出口流量 故障判断:关闭所有对外应用服务,即tomcat.nginx.vsftp,但关闭之 ...

  7. linux感染十字符病毒,十字符病毒,杀不死的小强,一次云服务器沦陷实录

    一.现象 接到客户的电话,说自己的云服务器被提供商禁止访问了,原因是监测到网络流量暴满,服务器不停的向外发包,在确认客户没有业务量突增的情况下,初步判断可能服务器遭受了流量攻&击(DDOS), ...

  8. ida so 不root_十字符病毒,杀不死的小强,一次云服务器沦陷实录

    一.现象 接到客户的电话,说自己的云服务器被提供商禁止访问了,原因是监测到网络流量暴满,服务器不停的向外发包,在确认客户没有业务量突增的情况下,初步判断可能服务器遭受了流量攻&击(DDOS), ...

  9. Linux Shell脚本入门教程系列之(十六) Shell输入输出重定向

    本文是Linux Shell系列教程的第(十六)篇,更多Linux Shell教程请看:Linux Shell系列教程 Shell中的输出和输入的重定向是在使用中经常用到的一个功能,非常实用,今天就为 ...

最新文章

  1. TRUNK配置详细讲解
  2. linux以非root身份运行,以非root用户身份在linux中运行mono-service
  3. ios 悬浮窗_多达2000个频道,支持7天回看!这才是我要的看电视app(安卓/ios)...
  4. 小白重装系统教程_重装解决99%的电脑问题:小白U盘重装系统教程
  5. Python3--批量爬取数据之调金山词霸api进行翻译
  6. 再见切赫!斯坦福桥“坦克兵”不止是蓝军传奇
  7. MySQL隧道创建方式
  8. SSL延迟有多大 (Https)
  9. 【Mysql】win10上Mysq的l安装
  10. perl 中部分正则表达式中匹配非空字符和正常使用字符
  11. android+查看内存容量apk,如何检查 Android 应用的内存使用情况
  12. 银监会计算机知识点,2015国考银监会计算机专业考试分析
  13. golang下的条件编译
  14. 怎样让开源项目看起来“高大上”
  15. 剑圣一族x8鼠标驱动v1.21加强版
  16. CSS文字加粗,字体,颜色渐变,消失总结
  17. 【Java 8 新特性】Java CompletableFuture thenApply()
  18. 苹果企业签名独立、非独立什么意思?
  19. [AutoVue开发手册]第二篇——AutoVue之Applet参数列表
  20. html上下滑动视频代码,h5 实现视频手势上下屏滑动 (类似抖音)

热门文章

  1. 路由重分发中尽然忘记了这件事
  2. shell 做加法运算_C语言探索之旅 | 第一部分第七课:运算那点事
  3. excluded by a filter_A. Manthiram:碲入硫,锂更稳!
  4. Android入门第十五篇之ActivityGroup + GridView 实现Tab分页标签
  5. postman发送object_.NetCore HttpClient发送请求的时候为什么自动带上了一个RequestId头部...
  6. python excel操作xlrd_python操作Excel读写--使用xlrd
  7. python时间格式化代码_Python datetime格式化代码
  8. 信号与系统 计算机,《信号与系统》计算机练习——利用MATLAB
  9. java 重试_Java重试机制修改
  10. 在java中使用关键字导入包_java中import关键字的使用方法