centos随机名、自我保护的木马病毒 清除小记
這種病毒是進行了自我保護的,直接刪除文件或修改文件都會導致其變身重新復制,需逐步清除:
這個木馬的主程序是:/lib/libudev.so
1、一般來說,病毒會在cron.hourly里面有sh腳本(gcc.sh),可以cat查看后找到其宿主程序:
libudev.so libudev.so.6
清除之:
cp /dev/null /lib/libudev.so
cp /dev/null /lib/libudev.so.6
2、對自動啟動服務 init 進行清理:
/etc/init.d 下面應該會有運行期的病毒程序,分別處理之
chmod 000 /etc/init.d/ymcxxvpc
chmod 000 /etc/init.d/xhyxxsjdtb
chattr +i /etc/init.d/
3、對計劃任務進行清理:
chmod 000 /etc/cron.hourly/*
chmod 000 /etc/cron.hourly/.
chattr +i /etc/cron.hourly/
chattr +i /etc/crontab
4、對病毒的運行目錄進行保護:
chattr +i /etc/
chattr +i /usr/bin/ /bin/
5、kill掉運行的病毒 kill -9 … 或者 干脆重啟服務器
6、開始清理病毒殘余
rm -f /usr/bin/… (或 rm -f /bin/… ) 病毒文件,在ssh的文件管理界面看出,一一干掉
chattr -i /etc/ /etc/crontab
vi /etc/crontab 刪除病毒的計劃任務
chattr -i /etc/cron.hourly/
rm -f /etc/cron.hourly/. 刪除病毒的計劃任務程序
rm -f /etc/cron.hourly/*
rm -f /etc/init.d/… 刪除病毒及鏈接文件
rm -f /etc/rc0.d/… rc1 rc2 rc3 rc4 rc5 rc6 …
最后記得把關鍵的目錄 如 /etc /usr/bin 等解開保護,否則搞不好服務器都重啟不了
完成后,進行必要的文件保護:
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
chattr +i /etc/crontab /etc/cron.hourly
總結
以上是生活随笔為你收集整理的centos随机名、自我保护的木马病毒 清除小记的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 开发web应用之php
- 下一篇: MT6575驱动调试笔记