Linux 10字符串命令病毒的处理记录

Linux 10字符串命令病毒的处理记录

 

http://www.cnlvzi.com/index.php/Index/article/id/176

 

刚上线的测试服务器不停的向外发包，且CPU持续100%，远程登录后查看发现有一长度为10的随机字符串进程，kill掉，会重新生成另外长度为10的字符串进程。删除文件也会重复生成，非常痛苦。查阅crond相关日志，发现实际执行的内容为/lib/libudev.so ，以此为关键字进行查询，找到如下内容：

1，網路流量暴增，使用 top 觀察有至少一個 10 個隨機字母組成的程序執行，佔用大量 CPU 使用率。刪除這些程序，馬上又產生新的程序。

2，檢查 /etc/crontab 每三分鐘執行 gcc.sh

*/3 * * * * root /etc/cron.hourly/gcc.sh

3，查看病毒程式 gcc.sh，可以看到病毒本體是 /lib/libudev.so。

cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

4，刪除上一行例行工作 gcc.sh，並設定 /etc/crontab 無法變動，否則馬上又會產生。

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

5，使用 top 查看病毒為 mtyxkeaofa，id 為 16621，不要直接殺掉程序，否則會再產生，而是停止其運作。

[root@deyu ~]# kill -STOP 16621

6，刪除 /etc/init.d 內的檔案。

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f

7，刪除 /usr/bin 內的檔案。

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa

8，查看 /usr/bin 最近變動的檔案，如果是病毒也一併刪除，其他可疑的目錄也一樣。

[root@deyu ~]# ls -lt /usr/bin | head

9，現在殺掉病毒程序，就不會再產生。

[root@deyu ~]# pkill mtyxkeaofa

10，刪除病毒本體。

[root@deyu ~]# rm -f /lib/libudev.so

到此，病毒删除完成。