好扯淡的嗦,今天登陆VPS想看看运行情况,使用Htop查看进程,突然发现很不正常,各种进程快速启动,然后关闭,并出现了ls -a、ifconfig、grep这类的系统进程,且ifconfig这个网络命令的cpu占用率一直保持在99%。第一反应,中毒了???
使用chkconfig --list查看,居然没有异常的东西!
查看crontab日志
# 查看crontab列表
crontab -l
# 查看crontab日志
ls /var/log/cron*
cat /var/log/cron-20151011 |more
我去,好夸张。。。3分钟执行一次。。。看看这玩意儿里面到底是啥子!!
[root@WebServer ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
既然知道了,删除试试。。。重启后又出现!!!!!
rm -rf /etc/cron.hourly/gcc.sh
chattr +i /etc/crontab使用top命令看看到底是哪个程序。结果一个rwvyraspcb的进程(我完全不记得有这样的进程)CPU占用率和之前htop里面看到的ifconfig占用的几乎一致,记下PID 1270。。kill -STOP 1270暂停程序试试。
# 使用ps命令查看主进程
pstree
top
# 追踪进程
# 发现病毒一直再执行一下操作(以下我已经删除了病毒体)
strace -tt -p 1270
13:27:31.002791 gettimeofday({1445750851, 2854}, NULL) = 0
13:27:31.002927 open("/lib/libudev.so", O_RDONLY) = -1 ENOENT (No such file or directory)
13:27:31.003053 open("/lib/libudev.so", O_RDONLY) = -1 ENOENT (No such file or directory)
13:27:31.003133 open("/lib/libudev.so", O_RDONLY) = -1 ENOENT (No such file or directory)
# 暂停进程
kill -STOP 1270使用lsof看看是否还有进程在打开,再看看最近的变动
# 查看/usr/bin关联情况
lsof -R | grep "/usr/bin"
ls -lt /usr/bin | head既然没有多打开的进程,那么就找现有的删掉看看。
find /etc -name '*rwvyraspcb*' | xargs rm -f
rm -rf /usr/bin/rwvyraspcb全部都干净了,干掉刚才停止的进程。
pkill rwvyraspcb使用htop再看看进程列表。哦也!干净了!!
来吧,删除病毒本体
rm -rf /lib/libudev.so
rm -rf /lib/libudev.so.62015年12月27日更新
今天新配置环境,安装了epel源的htop发现这个病毒又出来!
直接安装杀毒软件!ClamAV
yum install -y epel-release
yum install -y clamav
freshclam #升级病毒库
clamscan -r --bell -i / --remove #全盘扫描
文章评论
我一VPS之前也中了这个病毒,删除了。不过不知道为什么会中。查不出。
@kuhanzhu 我反正也没找到来到底是怎么中毒的!
@kuhanzhu 你是不是安装过Htop,我今天发现安装epel源的htop,病毒就出来了!
Max 7