Centos居然中毒了!

好扯淡的嗦,今天登陆VPS想看看运行情况,使用Htop查看进程,突然发现很不正常,各种进程快速启动,然后关闭,并出现了ls -a、ifconfig、grep这类的系统进程,且ifconfig这个网络命令的cpu占用率一直保持在99%。第一反应,中毒了???

使用chkconfig --list查看,居然没有异常的东西!

chkconfig

查看crontab日志

# 查看crontab列表
crontab -l

# 查看crontab日志
ls /var/log/cron*
cat /var/log/cron-20151011 |more

gcc

我去,好夸张。。。3分钟执行一次。。。看看这玩意儿里面到底是啥子!!

[root@WebServer ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

既然知道了,删除试试。。。重启后又出现!!!!!

rm -rf /etc/cron.hourly/gcc.sh
chattr +i /etc/crontab

使用top命令看看到底是哪个程序。结果一个rwvyraspcb的进程(我完全不记得有这样的进程)CPU占用率和之前htop里面看到的ifconfig占用的几乎一致,记下PID 1270。。kill -STOP 1270暂停程序试试。

# 使用ps命令查看主进程
pstree
top

# 追踪进程
# 发现病毒一直再执行一下操作(以下我已经删除了病毒体)
strace -tt -p 1270
13:27:31.002791 gettimeofday({1445750851, 2854}, NULL) = 0
13:27:31.002927 open("/lib/libudev.so", O_RDONLY) = -1 ENOENT (No such file or directory)
13:27:31.003053 open("/lib/libudev.so", O_RDONLY) = -1 ENOENT (No such file or directory)
13:27:31.003133 open("/lib/libudev.so", O_RDONLY) = -1 ENOENT (No such file or directory)

# 暂停进程
kill -STOP 1270

使用lsof看看是否还有进程在打开,再看看最近的变动

# 查看/usr/bin关联情况
lsof -R  | grep "/usr/bin"
ls -lt /usr/bin | head

既然没有多打开的进程,那么就找现有的删掉看看。

find /etc -name '*rwvyraspcb*' | xargs rm -f
rm -rf /usr/bin/rwvyraspcb

全部都干净了,干掉刚才停止的进程。

pkill rwvyraspcb

使用htop再看看进程列表。哦也!干净了!!

来吧,删除病毒本体

rm -rf /lib/libudev.so
rm -rf /lib/libudev.so.6

2015年12月27日更新
今天新配置环境,安装了epel源的htop发现这个病毒又出来!
直接安装杀毒软件!ClamAV

yum install -y epel-release
yum install -y clamav
freshclam #升级病毒库
clamscan -r --bell -i / --remove #全盘扫描
  1. kuhanzhu 2015.12.20 6:09pm

    我一VPS之前也中了这个病毒,删除了。不过不知道为什么会中。查不出。

    • Anonymous 2015.12.22 10:46pm

      我反正也没找到来到底是怎么中毒的!

    • Anonymous 2015.12.27 12:32am

      你是不是安装过Htop,我今天发现安装epel源的htop,病毒就出来了!

  2. John 2015.11.23 12:53pm

    Max 7

HTML tag cannot be used in this comment.