服務器不停的向外發包,且CPU持續100%,遠程登錄后查看發現有一長度為10的隨機字符串進程,kill掉,會重新生成另外長度為10的字符串進程。刪除文件也會重復生成,非常痛苦。查閱crond相關日志,發現實際執行的內容為/lib/libudev.so ,以此為關鍵字進行查詢,找到如下內容:

1.1 工具/原料

Linux系統

病毒文件libudev.so

1.2 方法/步驟

1.網絡流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。

2.檢查 cat /etc/crontab 發現定時任務 每三分鍾執行一個腳本gcc.sh

*/3 * * * * root /etc/cron.hourly/gcc.sh

查看病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。

[root@deyu ~]# cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

刪除上一行例行工作 gcc.sh,並設定 /etc/crontab無法變動,否則馬上又會產生新的文件。

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh && chattr +i /etc/crontab

使用 top 查看病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程序,否則會再次產生新的文件,而是停止其運行。

[root@deyu ~]# kill -STOP 16621

刪除 /etc/init.d 內的檔案。

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f

刪除 /usr/bin 內的檔案。

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa

查看 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。

[root@deyu ~]# ls -lt /usr/bin | head

現在殺掉病毒程序,就不會再產生。

[root@deyu ~]# pkill mtyxkeaofa

刪除病毒本體。

[root@deyu ~]# rm -f /lib/libudev.so

使用此方法 可以完全清除此病毒。

1.3 注意事項

/proc里面的東西是可以更改的;

lsof還比較忠誠,不直接讀取/proc里面的信息,ps看到的就不一定真實,top看到的進程還是正確的。 附:find -o參數就是邏輯運算的or

linux感染十字符病毒,linux下如何刪除十字符libudev.so病毒文件相关推荐

  1. iconv 判断字符编码_php下用iconv函数转换字符编码的问题

    昨天在调试 WAP 网站时发现,在增加了 GB2312 到 UTF-8 转化以后,有些页面显示不正常了--有些页面只有一半的内容,另一半被截掉了.因为被截掉的部分包含了 的后半个标签 ,因此整个页面都 ...

  2. linux的memmap函数_linux /proc下的statm、maps、memmap 内存信息文件分析

    ls /proc 能看到一些数字命名的文件夹,这些数字就是对于进程的pid [[email protected] proc]# cat /proc/1/statm 487 185 133 31 0 6 ...

  3. 游戏编程十年总结(下)(转)

    游戏编程十年总结(下)(转) 一.总结 一句话总结:看完作者的文章,我的感悟是:不到顶尖,终成废土,而且我要是不居安思危,不能够明确自己的处境和社会的竞争,必挂无疑. 这样的故事,真的需要多看. 作者 ...

  4. linux终端stty恢复默认,[Linux]stty命令使用详解

    用法:stty [-F 设备 | --file=设备] [设置]... 或:stty [-F 设备 | --file=设备] [-a|--all] 或:stty [-F 设备 | --file=设备] ...

  5. linux 杂项设备,Linux下自动创建节点的字符杂项设备 misc_register

    Linux下自动创建节点的字符杂项设备 misc_register admin • 2020 年 01 月 07 日 杂项设备 Linux里面的misc杂项设备是主设备号为10的驱动设备 定义头文件: ...

  6. linux vi命令操作实例,Linux下Vi替换字符命令操作实例

    在Linux下的开发中,经常涉及到对文件中的字符进行处理,其中,对字符的替换操作也是非常的频繁.本文以一个实际的文件为例,详细 在Linux下的开发中,经常涉及到对文件中的字符进行处理,其中,对字符的 ...

  7. linux 随机10字符病毒,Linux 10字符串命令病毒的处理记录

    刚上线的测试服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程.删除文件也会重复生成,非常痛苦.查阅cron ...

  8. 第十四章 Linux核心资源

    Table of Contents, Show Frames, No Frames 第十四章 Linux核心资源 本章主要描叙寻找某个特殊核心函数时用到的Linux核心资源. 本书并不要求读者具有C编 ...

  9. linux mysql 测试工具_LINUX系统下MySQL 压力测试工具super smack

    LINUX系统下MySQL 压力测试工具super smack 发布时间:2008-09-08 17:03:39   作者:佚名   我要评论 1. 源文件下载地址:http://vegan.net/ ...

最新文章

  1. 模拟一个简单计算器_阅读模拟器的简单介绍
  2. Python学习记录day4
  3. 千万级规模高性能、高并发的网络架构经验分享--转
  4. QML - 小例子 - 文件目录浏览器
  5. 改变照片分辨率的软件_设计图像,想调整大小而又不降低质量,用这3个软件,那就对了...
  6. Spring实战4:面向切面编程
  7. sqlserver之创建视图
  8. 安装KETTLE教程,并配置执行定时任务
  9. logistic回归列线图(nomogram)的多种绘制方法
  10. HD、BD、MKV和RMVB、DVD、AVI
  11. 小麦积分墙:如何更好的使用积分墙
  12. 服务器非80端口无法访问网页,使用非80网站访问服务器web提示需要备案呢?
  13. ZT I Believe I Can Fly(我相信我能飞)
  14. OS=Windows OS=Windows and the assembly descriptor contains a *nix-specific root-relative-reference
  15. webp文件上传格式转换前端解决方案及php端解决方案
  16. 树莓派4B安装Ubuntu Server20.04(18.04)连接wifi(对于ubuntu server 99%适用)
  17. AutoJs学习-免ROOT免无障碍画圆球
  18. mysql data dll_mysql.data.dll官方下载
  19. 计算机加分乘法套用,8+8+8+8+8写成乘法算式要怎样写?小学数学为何这么死板?...
  20. delphi 使用cef3谷歌浏览器内核加载带header请求头的网页

热门文章

  1. Mybatis+Oracle批处理
  2. 洛谷 P1074 靶形数独 Label:search 不会
  3. Operators一句话介绍(RxJava版)
  4. POJ3342 Party at Hali-Bula(树型DP求最大独立集+唯一解判断)
  5. RS232应用----电功率计
  6. 串口通信中接收数据时延迟处理与缓存处理的解决方案(C#)
  7. 51nod 1046 A^B Mod C
  8. pandas—总结(2) 数据读写 (更新中)
  9. H.264学习笔记2——帧内预测
  10. C语言里的几个拷贝函数memcpy、memset、strcpy、strncpy