linux下如何删除十字符libudev.so病毒文件

服务器不停的向外发包，且CPU持续100%，远程登陆后查看发现有一长度为10的随机字符串进程，kill掉，会从新生成另外长度为10的字符串进程。删除文件也会重复生成，很是痛苦。查阅crond相关日志，发现实际执行的内容为/lib/libudev.so ，以此为关键字进行查询，找到以下内容：

1.1 工具/原料

• Linux系统
• 病毒文件libudev.so

1.2 方法/步骤

1.网络流量暴增，使用 top 观察有至少一個 10 个随机字母組成的程序執行，佔用大量 CPU 使用率。刪除這些程序，馬上又产生新的程序。

2.检查 cat /etc/crontab 发现定时任务 每三分钟执行一个脚本gcc.sh

 

*/3 * * * * root /etc/cron.hourly/gcc.sh

 

查看病毒程式 gcc.sh，能够看到病毒本体是 /lib/libudev.so。

 

[root@deyu ~]# cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

 

刪除上一行例行工做 gcc.sh，并设定 /etc/crontab没法变更，不然立刻又会产生新的文件。

 

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh && chattr +i /etc/crontab

 

 

使用 top 查看病毒為 mtyxkeaofa，id 为 16621，不要直接杀掉程序，不然会再次产生新的文件，而是中止其运行。

 

[root@deyu ~]# kill -STOP 16621

 

刪除 /etc/init.d 內的档案。

 

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f

 

刪除 /usr/bin 內的档案。

 

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa

 

查看 /usr/bin 最近变更的档案，若是是病毒也一併刪除，其余可疑的目錄也一樣。

 

[root@deyu ~]# ls -lt /usr/bin | head

 

現在杀掉病毒程序，就不會再产生。

 

[root@deyu ~]# pkill mtyxkeaofa

 

刪除病毒本体。

[root@deyu ~]# rm -f /lib/libudev.so

 

使用此方法 能够彻底清除此病毒。

1.3 注意事项

• /proc里面的东西是能够更改的；
• lsof还比较忠诚，不直接读取/proc里面的信息，ps看到的就不必定真实，top看到的进程仍是正确的。 附：find -o参数就是逻辑运算的or