参考https://www.freebuf.com/column/162604.html?tdsourcetag=s_pcqq_aiomsg
参考https://blog.csdn.net/hgx13467479678/article/details/82347473
参考https://www.jianshu.com/p/560111e6d3bf(和我情况一模一样)
有次检查服务器时,发现一直在报错
然后看到删除,发现删除不了,但是在root家目录下找到几个诡异的文件,查看后感觉估计是中病毒了,
将病毒脚本改名伪装成正常配置文件,并在计划任务做隐藏
通过第三个大佬的博客,看到库是可以删除的,我一直有给误区就是库文件不能删除,只是需要chattr -i进行解锁,就可以删除了,然后找到病毒源程序mdmisc,另外一个没找到
解决方法:
1清除掉/etc/init.d和/etc/rc*.d下的所有自启文件
2再清除那两个锁定的/etc/ld.so.preload,/usr/local/lib/libftp.so,
3然后找到mdmisc的二进制程序路径,查看具体内容进行还原环境,
4第三步我没做好,直接删了二进制文件不知道修改内容,环境不好还原
5清除所有伪装成计划任务的病毒脚本和家目录或tmp下的病毒脚本
6重启就正常了