1、病毒现象
- 服务器存在卡顿和外联异常IP等现象。
- 存在进程名为10位随机字符的进程。
- 对外有DDOS攻击行为
2、病毒处置
- 停止定时任务:对于定时任务,删除或者注释都会被删掉重写,可以设置权限,使crontab文件无法写入:chattr +i /etc/crontab。对于木马文件,删除会重建,可以修改权限,使之无法运行,但此刻千万不要删掉(因此删除后,木马又会自动生成该文件)。降权操作:chmod 600 /lib/libudev.so chmod 600 /lib/libudev.so.6
- chmod 600 /user/bin/[10位随机字符],chmod 600 /tmp/[10位随机字符]。
- 删除:/etc/rc.d/[10位随机字符]、/etc/rc.d/K90[10位随机字符]、/etc/init.d/[10位随机字符]。
- 手动kill全部木马进程。
- rm -f /usr/bin/[10位随机字符]、/tmp/[10位随机字符]、/lib/libudev.so、libudev.so.6、/etc/cron.hourly/gcc.sh、/etc/crontab/gcc.sh。
- 重启服务器(客户进行重启操作)测试木马是否清理完成。
3、病毒详情
https://blog.csdn.net/tiezhong2004/article/details/80963575