linux服务器 sysupdate病毒

• 发现病毒

  • 整齐划一的进程，且本身没有作过这样的部署。发现不对劲，因而立刻使用kill命令干掉这些进程。神奇的事情发生了，这些进程就像不倒翁同样，几个kill命令过去它们又从新站了起来。

• 定位病毒

  • 使用top命令得出进程号（PID）
    • top 命令介绍
      • http://www.javashuo.com/article/p-cevaoyky-ek.html
  • 使用命令ls -l proc/{进程号}/exe得出文件位置

• 清除病毒

  • 删除在 /etc/ 目录下还发现一个守护进程文件  /etc/update.sh
  • 使用 rm 命令直接删除，会发现提示 cannot remove 'XXX'Operation not permitted
    •   lsattr 查看隐藏属性
      • lsattr update.sh
    • 除去隐藏属性
      • chattr -i update.sh
  • 检查是否还有免密登陆的后门文件   /root/.ssh/authorized_keys 也一并删除
  • 检查定时任务  crontab -l 将可疑任务清除
  • 最后将服务器重启，检查是否还有异常