今天发现服务器有一个进程cpu消耗一直处于过高状态,进程名是10个随机字符。kill掉又会出现,非常痛苦
我的小服务器承受不了这压力
最后在/etc/crontab中存在的一条可疑定时任务,3秒执行一次。呵呵:-)
*/3 * * * * root /etc/cron.hourly/gcc.sh
查看定时执行的程序gcc.sh的内容
[root@bo ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
在这就可以看到小东西的本体了libudev.so。
开始搞事~~
先把/etc/crontab那条定时任务删除保存
然后执行下面命令干掉gcc.sh,并把文件/etc/crontab锁住不让修改
rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
通过top命令找到偷资源的进程名: swnrqypcgj id: 19322,不要激动 不要直接干掉,先让它休息一下。
kill -STOP 19322
刪除 /etc/init.d 內的档案。
find /etc -name '*swnrqypcgj*' | xargs rm -f
刪除 /usr/bin 內的档案
rm -f /usr/bin/swnrqypcgj
查看 /usr/bin 最近变动,发现可疑直接干掉
ls -lt /usr/bin | head
完成以上操作就可以让它死了
pkill swnrqypcgj
删除病毒本身
rm -f /lib/libudev.so
成功解救
Q.E.D.