Linux清理挖坑病毒sysupdate, networkservice

1. 清楚定时任务

chattr -ai /var/spool/cron
chattr -ai /var/spool/cron/root
crontab -r 

2. sysupdate、networkservice配置都在/etc/目录下，就是：sysupdate、networkservice 同时还有sysguard、update.sh，由于一般病毒会使用chattr +i命令，锁定文件，我们使用chattr -i 文件名，

chattr -i /etc/sysguard
rm -rf /etc/sysguard
chattr -i /etc/sysupdate
rm -rf /etc/sysupdate
chattr -i /etc/update.sh
rm -rf /etc/update.sh
chattr -i /etc/networkservice
rm -rf /etc/networkservice
chattr -i /etc/config.json
rm -rf /etc/config.json

解锁
3. 首先杀进程，kill -9 {进程号}，然后删除文件.

ps aux|grep sysupdate
ps aux|grep networkservice
top //找到sysupdate，networkservice
kill -9 pid //杀死上面查找的pid

chattr -i /tmp/kdevtmpfsi
rm -rf /tmp/kdevtmpfsi

chattr -i /root/.ssh/authorized_keys
vim /root/.ssh/authorized_keys //删除免密登录（陌生）

4. 最后你需要/root/.ssh/authorized_keys 删除或修复
5. 如果在删除已经启动，再重复第二部，
6. 修改 病毒修改文件

mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

7. 回复防火墙

iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload