隨機字母病毒

現象：

一個隨機字母命名的進程，吃掉大量的cpu和網絡帶寬。如圖：

Lsof可以看到病毒的IP  59.36.97.141 東莞的IP

殺死后，立刻新生一個隨機字母的進程，繼續作惡，如圖：

原因可能有兩個：有另外一個進程在守護著它，或者系統服務有相關設定。

1、尋找守護病毒的進程

Pstree可以看到這樣的進程其實有兩個，同樣是10個隨機字母的進程

一個表現異常設為A，一個隱藏在背后設為B。

2、看看系統服務設置：

看了下crontab,   發現有個3分鐘就執行一個的腳本，結果順藤摸瓜，發現一個偽裝成庫的程序，file它，發現它真實個可執行文件，ps了下，發現沒有這個名字的進程，估計是改了名字，隱藏起來，它跟B有什么關系？然后順手就把那個庫文件libudev.so刪掉，TMD，居然發現跟A一樣，立即重生了，這里想會不會它們是相互守護的。試試同時殺掉它們，發現還是不行。

再看看init.d   結果發現了/usr/bin/A就是A的本地，之前pwdx是查不出A的路徑的，估計是修改/proc/pid里面的信息。   rcX.d里面的也有指向init.d的鏈接文件，/etc/rc.d/rc<0-6>.d、/etc/rc<0-6>.d都有。

看了上面的信息，得到解決辦法：

Kill.sh:

s90="S90${1}"

k90="K90${1}"

rm -f /etc/rc0.d/${k90}  /etc/rc4.d/${s90} /etc/rc5.d/${s90}/etc/rc6.d/${k90} /etc/rc1.d/${s90} /etc/rc2.d/${s90} /etc/rc3.d/${s90}

rm -f /etc/rc.d/rc0.d/${k90}  /etc/rc.d/rc4.d/${s90} /etc/rc.d/rc5.d/${s90}/etc/rc.d/rc6.d/${k90} /etc/rc.d/rc1.d/${s90} /etc/rc.d/rc2.d/${s90}/etc/rc.d/rc3.d/${s90}

#去掉crontab里的3分鐘執行一次的那項

rm -f /etc/cron.hourly/gcc.sh

#阻止再新生病毒程序

chmod 000 /usr/bin/${1} && chattr+i /usr/bin

chmod 000 /bin/${1} && chattr +i/bin

chmod 000 /sbin/${1} && chattr +i/sbin

chmod 000 /usr/bin/${1} && chattr+i /usr/bin

chmod 000 /usr/sbin/${1} && chattr+i /usr/sbin

chmod 000 /usr/local/bin/${1} &&chattr +i /usr/local/bin

chmod 000 /usr/local/sbin/${1} &&chattr +i /usr/local/sbin

chmod 000 /usr/X11R6/bin/${1} &&chattr +i /usr/X11R6/bin

chmod 000 /tmp/${1} && chattr +i/tmp

#殺死病毒

kill -9 ${2}

rm -f /lib/libudev.so*

殺掉后，再執行recovery.sh

chattr -i /usr/bin

chattr -i /bin

chattr -i /sbin

chattr -i /usr/bin

chattr -i /usr/sbin

chattr -i /usr/local/bin

chattr -i /usr/local/sbin

chattr -i /usr/X11R6/bin

chattr -i /tmp

反思：

病毒是什么時候，怎樣進來的？

病毒的一些特性，對服務器開發還是有啟發意義的

新手上路，高手請指點

轉發請留痕