BO

linux下随机字符进程病毒清除记录
今天发现服务器有一个进程cpu消耗一直处于过高状态,进程名是10个随机字符。kill掉又会出现,非常痛苦我的小服务...
扫描右侧二维码阅读全文
07
2020/05

linux下随机字符进程病毒清除记录

今天发现服务器有一个进程cpu消耗一直处于过高状态,进程名是10个随机字符。kill掉又会出现,非常痛苦
我的小服务器承受不了这压力

最后在/etc/crontab中存在的一条可疑定时任务,3秒执行一次。呵呵:-)

*/3 * * * * root /etc/cron.hourly/gcc.sh

查看定时执行的程序gcc.sh的内容

[root@bo ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

在这就可以看到小东西的本体了libudev.so。

开始搞事~~

先把/etc/crontab那条定时任务删除保存

然后执行下面命令干掉gcc.sh,并把文件/etc/crontab锁住不让修改

rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

通过top命令找到偷资源的进程名: swnrqypcgj id: 19322,不要激动 不要直接干掉,先让它休息一下。

kill -STOP 19322

刪除 /etc/init.d 內的档案。

find /etc -name '*swnrqypcgj*' | xargs rm -f

刪除 /usr/bin 內的档案

rm -f /usr/bin/swnrqypcgj

查看 /usr/bin 最近变动,发现可疑直接干掉

ls -lt /usr/bin | head

完成以上操作就可以让它死了

pkill swnrqypcgj

删除病毒本身

rm -f /lib/libudev.so

成功解救

Last modification:May 7th, 2020 at 04:45 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment