1、现象
1)cpu使用超高
2)网络流量异常
3)服务器卡顿
2、表现
1)top命令,一个随机文件在运行,且kill后会生成新的随机文件名再次运行。
2)chkconfig --list | grep on
这里还被设置成了开机启动
3、安装clamav扫描并删除感染文件
<1> yum install -y epel-release
<2> yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y
freshclam 更新数据库
<3> 扫描根目录:clamscan -r / --max-dir-recursion=5 -l /root/clamav.log
<4> 删除感染的文件:cat clamav.log | grep FOUND(rm删除其文件)
4、重装应用并杀死进程
1)还原文件
yum -y reinstall procps lsof iproute net-tools
2)查看进程树
pstree
systemd─┬─AliYunDun───15*[{AliYunDun}]
├─AliYunDunUpdate───3*[{AliYunDunUpdate}]
├─2*[agetty]
├─aliyun-service───6*[{aliyun-service}]
├─atd
├─auditd───{auditd}
├─consul───6*[{consul}]
├─crond───crond───freshclam-sleep───sleep
├─dbus-daemon
├─dockerd-current─┬─docker-containe───6*[{docker-containe}]
│ └─8*[{dockerd-current}]
├─lvmetad
├─nginx───nginx
├─ntpd
├─polkitd───5*[{polkitd}]
├─rsyslogd───2*[{rsyslogd}]
├─sshd───sshd───bash───pstree
├─systemd-journal
├─systemd-logind
├─systemd-udevd
├─tuned───4*[{tuned}]
├─
ucfzblbtus───3*[{ucfzblbtus}]
└─
5*[zmsuzppqmm]
3)查看进程位置
ll /proc/23981
dr-xr-xr-x 2 root root 0 May 7 07:57 attr
-rw-r--r-- 1 root root 0 May 7 07:57 autogroup
-r-------- 1 root root 0 May 7 07:57 auxv
-r--r--r-- 1 root root 0 May 7 07:57 cgroup
--w------- 1 root root 0 May 7 07:57 clear_refs
-r--r--r-- 1 root root 0 May 6 22:06 cmdline
-rw-r--r-- 1 root root 0 May 7 07:57 comm
-rw-r--r-- 1 root root 0 May 7 07:57 coredump_filter
-r--r--r-- 1 root root 0 May 7 07:57 cpuset
lrwxrwxrwx 1 root root 0 May 7 07:57 cwd -> /root
-r-------- 1 root root 0 May 7 07:57 environ
lrwxrwxrwx 1 root root 0 May 6 22:06 exe -> /usr/bin/ucfzblbtus
.......
4)关闭进程
pidof /usr/bin/
ucfzblbtus | xargs kill -9
5、清理剩余文件
1)删除异常计划任务
<1> cat /etc/crontab
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
*/3 * * * * root /etc/cron.hourly/gcc.sh // 异常任务、删除该行
2)破坏病毒文件
<1> cat /etc/cron.hourly.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
<2>破坏并删除
echo etes,tet> /lib/libudev.so
rm -f /lib/libudev.so /lib/libudev.so.6
3)删除/etc/cron.houtly 目录下所有文件
<1> cd /etc/cron.hourly/
<2> rm -fr *
4)关闭开机启动
<1> chkconfig --list | grep on
<2> chkconfig --del jesahrtrma
<3> chkconfig --del nhwtcncubx