隨機10字符進程,CPU佔滿,linux病毒
因爲病毒已經清掉了,就不能再截圖了。。。
卡死
今天登入機器發現巨卡,第一反應top,MD top都能卡半天,還好最後還是跑起來了,發現有一個進程cpu佔用特別高,進程名字也很奇怪,就是隨便幾個字符。
例如: hhdyxhxzf fdshfjkxycu
清除過程
當然是kill掉那個進程,不過過一會又有新的進程起來了。很正常病毒沒有一個能簡單kill掉的。
- netstat -antp 看了一下 , 有一個進程連到了美國一臺機器的443端口。
- 然後 lsof -p PID 看了一下的確是那個病毒發起的連接(因爲太卡top有時候會導致ssh掉線,之後都是 netstat 去查病毒pid 然後kill 掉 )
- 接着 strace -tt -p PID 發現病毒用到了 /lib/libudev.so
- 查看一下 /lib/libudev.so 昨天才生產的文件,最近都沒怎麼操作機器,大概可以確定是病毒帶過來的文件了, 修改一下 libudev.so 的權限 chmod 0444 libudev.so 然後在kill掉病毒進程,果然他就起不來了
- 抱着試一試的心態 查看哪個腳本里面寫有這個 so find / -type f | xargs grep libudev.so ,發現有個腳本 /etc/cron.hourly/gcc.sh 裏面有用到,看來就是它了。
- 刪掉病毒相關的文件 /etc/init.d/ /usr/bin 目錄都有很多10字符串的文件都刪掉。/lib/libudev.so 刪掉 那個腳本也刪掉
最後cpu下來了,奇怪的是它怎麼進來的!,之後不是還會中招嗎???
不管了,脫髮了,如果頭髮都沒有了,這樣下去還有什麼意義呢。簡單的把不必要開放到外網的端口都改成localhost,開啓防火牆。