前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。
用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。
我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。
这病毒怎么解决了?
比如病毒为:abcdefjhee
1.which abcdefjhee
会发现病毒在 /usr/bin/abcdefjhee 这里
2.cat /etc/crontab 查看定时任务
你会发现定时任务,其余几个定时任务你可查看
3.开干病毒
kill -stop 病毒进程
4.锁定相关目录,暂时不要让新文件生成
chmod 000 /usr/bin/abcdefjhee
chattr +i /usr/bin
chattr +i /bin/
chattr +i /tmp/
5.然后cat /etc/crontab 打开文件,你会看到脚本有个/etc/cron.hourly/gcc.sh的文件
6.然后
cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
7.然后找到位置,把病毒文件删除掉
8.然后吧定时任务中文件删掉
rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
9.移除跟这个病毒相关的信息
find /etc -name '*abcdefjhee*' | xargs rm -f
10.rm -f /usr/bin/abcdefjhee
11.查看最近的运行的命令,奇怪的删掉
ls -lt /usr/bin | head
12.杀死病毒进程
pkill abcdefjhee
13.把最开始文件权限打开
chattr -i /usr/bin
chattr -i /bin/
chattr -i /tmp/
最后用top 在观察,chkconfig --list 查看是否有异常应用占用网络带宽
基本搞定...
这次让我明白了,服务器要做好监控了,不然病毒来了,不好解决