如何清除linux病毒
查看網(wǎng)絡防火墻,我們的一個網(wǎng)段IP不停的向外發(fā)包,應該是被攻擊成了別人的肉雞了。下面是學習啦小編跟大家分享的是如何清除linux病毒,歡迎大家來閱讀學習。
如何清除linux病毒
工具/原料
zabbix
方法/步驟
首先我們要先確定是哪臺機器的網(wǎng)卡在向外發(fā)包,還好我們這邊有zabbix監(jiān)控,我就一臺一臺的檢查,發(fā)現(xiàn)有一臺的流量跑滿了,問題應該出現(xiàn)在這臺機器上面
我登錄到機器里面,查看了一下網(wǎng)卡的流量,我的天啊,居然跑了這個多流量。
這臺機器主要是運行了一個tomcat WEB服務和oracle數(shù)據(jù)庫,問題不應該出現(xiàn)在WEB服務和數(shù)據(jù)庫上面,我檢查了一下WEB日志,沒有發(fā)現(xiàn)什么異常,查看數(shù)據(jù)庫也都正常,也沒有什么錯誤日志,查看系統(tǒng)日志,也沒有看到什么異常,我趕緊查看了一下目前運行的進程情況,看看有沒有什么異常的進程,一查看,果然發(fā)現(xiàn)幾個異常進程,不仔細看還真看不出來,這些進程都是不正常的。
這是個什么進程呢,我每次ps -ef都不一樣,一直在變動,進程號一一直在變動中,我想看看進程打開了什么文件都行,一時無從下手,想到這里,我突然意識到這應該都是一些子進程,由一個主進程進行管理,所以看這些子進程是沒有用的,即便我殺掉他們還會有新的生成,擒賊先擒王,我們去找一下主進程,我用top d1實時查看進程使用資源的情況,看看是不是有異常的進程占用cpu內存等資源,發(fā)現(xiàn)了一個奇怪的進程,平時沒有見過。這個應該是我們尋找的木馬主進程。
我嘗試殺掉這個進程,killall -9 ueksinzina,可是殺掉之后ps -ef查看還是有那些子進程,難道沒有殺掉?再次top d1查看,發(fā)現(xiàn)有出現(xiàn)了一個其他的主進程,看來殺是殺不掉的,要是那么容易殺掉就不是木馬了。
可以看到里面有個定時任務gcc4.sh,這個不是我們設定的,查看一下內容更加奇怪了,這個應該是監(jiān)聽程序死掉后來啟動的,我們這邊把有關的配置全部刪掉,并且刪掉/lib/libudev4.so。
在/etc/init.d/目錄下面也發(fā)現(xiàn)了這個文件。
里面的內容是開機啟動的信息,這個我們也給刪掉
到此為止,沒有新的木馬進程生成,原理上說是結束掉了木馬程序,后面的工作就是要清楚這些目錄產生的文件,經過我尋找,首先清除/etc/init.d目錄下面產生的木馬啟動腳本,然后清楚/etc/rc#.d/目錄下面的連接文件。
后來我查看/etc目錄下面文件的修改時間,發(fā)現(xiàn)ssh目錄下面也有一個新生成的文件,不知道是不是有問題的。清理差不多之后我們就要清理剛才生成的幾個文件了,一個一個目錄清楚,比如"chattr -i /tmp",然后刪除木馬文件,以此類推刪除/bin、/usr/bin目錄下面的木馬,到此木馬清理完畢。