这种病毒是进行了自我保护的,直接删除文件或修改文件都会导致其变身重新复制,需逐步清除:
1、一般来说,病毒会在cron.hourly里面有sh脚本(gcc.sh),可以cat查看后找到其宿主程序:
libudev.so libudev.so.6
清除之:
cp /dev/null /lib/libudev.so
cp /dev/null /lib/libudev.so.6
2、对自动启动服务 init 进行清理:
/etc/init.d 下面应该会有运行期的病毒程序,分别处理之
chmod 000 /etc/init.d/ymcxxvpc
chmod 000 /etc/init.d/xhyxxsjdtb
chattr +i /etc/init.d/
3、对计划任务进行清理:
chmod 000 /etc/cron.hourly/*
chmod 000 /etc/cron.hourly/*.*
chattr +i /etc/cron.hourly/
chattr +i /etc/crontab
4、对病毒的运行目录进行保护:
chattr +i /etc/
chattr +i /usr/bin/ /bin/
kill掉运行的病毒 kill -9 ... 或者 干脆重启服务器
5、开始清理病毒残余
rm -f /usr/bin/... (或 rm -f /bin/... ) 病毒文件,在ssh的文件管理界面看出,一一干掉
chattr -i /etc/ /etc/crontab
vi /etc/crontab 删除病毒的计划任务
chattr -i /etc/cron.hourly/
rm -f /etc/cron.hourly/*.* 删除病毒的计划任务程序
rm -f /etc/cron.hourly/*
rm -f /etc/init.d/...
删除病毒及链接文件
rm -f /etc/rc0.d/... rc1 rc2 rc3 rc4 rc5 rc6 ...
最后记得把关键的目录 如 /etc /usr/bin 等解开保护,否则搞不好服务器都重启不了
完成后,进行必要的文件保护:
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
chattr +i /etc/crontab /etc/cron.hourly
chattr +i /etc/crontab /etc/cron.hourly
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
