linux下如何刪除十字符libudev.so病毒文件

服務器不停的向外發包，且CPU持續100%，遠程登陸後查看發現有一長度爲10的隨機字符串進程，kill掉，會從新生成另外長度爲10的字符串進程。刪除文件也會重複生成，很是痛苦。查閱crond相關日誌，發現實際執行的內容爲/lib/libudev.so ，以此爲關鍵字進行查詢，找到以下內容：

1.1 工具/原料

• Linux系統
• 病毒文件libudev.so

1.2 方法/步驟

1.網絡流量暴增，使用 top 觀察有至少一個 10 個隨機字母組成的程序執行，佔用大量 CPU 使用率。刪除這些程序，馬上又產生新的程序。

2.檢查 cat /etc/crontab 發現定時任務 每三分鐘執行一個腳本gcc.sh

 

*/3 * * * * root /etc/cron.hourly/gcc.sh

 

查看病毒程式 gcc.sh，能夠看到病毒本體是 /lib/libudev.so。

 

[root@deyu ~]# cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

 

刪除上一行例行工做 gcc.sh，並設定 /etc/crontab沒法變更，不然立刻又會產生新的文件。

 

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh && chattr +i /etc/crontab

 

 

使用 top 查看病毒為 mtyxkeaofa，id 爲 16621，不要直接殺掉程序，不然會再次產生新的文件，而是中止其運行。

 

[root@deyu ~]# kill -STOP 16621

 

刪除 /etc/init.d 內的檔案。

 

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f

 

刪除 /usr/bin 內的檔案。

 

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa

 

查看 /usr/bin 最近變更的檔案，若是是病毒也一併刪除，其餘可疑的目錄也一樣。

 

[root@deyu ~]# ls -lt /usr/bin | head

 

現在殺掉病毒程序，就不會再產生。

 

[root@deyu ~]# pkill mtyxkeaofa

 

刪除病毒本體。

[root@deyu ~]# rm -f /lib/libudev.so

 

使用此方法 能夠徹底清除此病毒。

1.3 注意事項

• /proc裏面的東西是能夠更改的；
• lsof還比較忠誠，不直接讀取/proc裏面的信息，ps看到的就不必定真實，top看到的進程仍是正確的。 附：find -o參數就是邏輯運算的or