Linux下10个随机字符进程名病毒的处理

今天某项目经理反馈学校的某台服务器不停的向外发包，且CPU持续100%，远程登录后查看发现有一长度为10的随机字符串进 程，kill掉，会重新生成另外长度为10的字符串进程。删除文件也会重复生成，非常痛苦。查阅crond相关日志，发现实际执行的内容为/lib /libudev.so ，以此为关键字进行查询，找到如下内容：

1. �W路流量暴增，使用 top �^察有至少一�� 10 ���S�C字母�M成的程序�绦校��子么罅� CPU 使用率。�h除�@些程序，�R上又�a生新的程序。

2. �z查 /etc/crontab 每三分��绦� gcc.sh

   */3 * * * * root /etc/cron.hourly/gcc.sh

3. 查看病毒程式 gcc.sh，可以看到病毒本�w是 /lib/libudev.so。

   [root@deyu ~]# cat /etc/cron.hourly/gcc.sh
   #!/bin/sh
   PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
   for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
   cp /lib/libudev.so /lib/libudev.so.6
   /lib/libudev.so.6

4. �h除上一行例行工作 gcc.sh，�K�O定 /etc/crontab �o法��樱�否�t�R上又���a生。

   [root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

5. 使用 top 查看病毒�� mtyxkeaofa，id �� 16621，不要直接�⒌舫绦颍�否�t��再�a生，而是停止其�\作。

   [root@deyu ~]# kill -STOP 16621

6. �h除 /etc/init.d �鹊�n案。

   [root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f

7. �h除 /usr/bin �鹊�n案。

   [root@deyu ~]# rm -f /usr/bin/mtyxkeaofa

8. 查看 /usr/bin 最近��拥�n案，如果是病毒也一��h除，其他可疑的目�也一�印�

   [root@deyu ~]# ls -lt /usr/bin | head

9. �F在�⒌舨《境绦颍�就不��再�a生。

   [root@deyu ~]# pkill mtyxkeaofa

10. �h除病毒本�w。

    [root@deyu ~]# rm -f /lib/libudev.so

使用此方法 可以完全清除此病毒。

首先ssh工具莫名无法连接服务器，一连接就被强制退出。
然后到服务器端用top命令看到有udev-fall这个进程，用ps -ef查看系统中运行着/usr/bin/udev-fall -d这个进程，kill 掉后，将/usr/bin/udev-fall移走，ssh工具可以连接服务器了。