十字叉病毒

病毒介绍

一个或者多个十位随机字母病毒进程，主要目的消耗服务各项资源。属于一种挂马，此病毒会自我保护和自我恢复。此病毒会往外发送大量数据包。

查杀流程:  

正确查杀流程应该先关闭服务器外网,用内网进行操作处理

1) 通过对病毒了解分析,知道病毒主体是/lib/libudev.so 
通过执行命令删除病毒主体
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/ 
此命令目的一是删除主体/lib/libudev.so，二是修改/lib目录权限为不可修改防止病毒自己恢复。

2) 删除/etc/init.d/目录下病毒启动脚本，删除之前先查看，防止误删

#!/bin/sh 
# chkconfig: 12345 90 90 
# description:  
### BEGIN INIT INFO 
# Provides:               
# Required-Start: 
# Required-Stop: 
# Default-Start:    1 2 3 4 5 
# Default-Stop: 
# Short-Description:     
### END INIT INFO 
case $1 in 
start) 
/usr/bin/xijqgppeec 
;;
stop)
;;
*)
/usr/bin/xijqgppeec
;;
esac

符合此样式的启动脚本即可删除。
3) 删除/etc/cron.hourly目录下gcc.sh和mcelog.cron脚本
4) 确定第二、三步全部删除之后，ps或者top命令找出相关病毒进程，kill掉
5) 进入/etc/rc.d/目录下（分别进入rc0.d、rc1.d、rc2.d、rc3.d、rc4.d、rc5.d、rc6.d目录），将下图这种已随机十位字母结尾的软链接文件删除掉

不管是失效还是未失效的此类软链接都删除，删除之前一定要注意不要误删，再三确认好
6) 编辑/etc/crontab文件

将上图中计划任务删除掉

7) 到此病毒删除工作基本完成，可以再top查看一下看看是否还有此类木马进程，完成后重启机器，查看是否正常

简单总结：

目前为止遇到两次服务器感染了此类病毒，第一次删除病毒在第一步废了好长时间才摸清楚病毒的自我恢复机制，第二次就轻车熟路了。两次病毒都在同一个地方的服务器上发现的，在其他服务器上没有遇到此种情况，不排除内部带入病毒的可能，后续会对此病毒做进一步了解。另外可能就是弱口令，系统安装人员为了图省事给力弱口令，导致木马进入服务器了。