1、top查看是否有特別吃cpu和記憶體的進程,病毒進程kill是殺不死的,因為ps命令被修改 2、ls -la /proc/病毒進程pid/ pwd為病毒進程程式目錄 一般在/usr/bin下 3、/bin/ps,/bin/netsta程式都是1.2M的大小,顯然被人掉包 ps 改成了ips 4、進 ...
1、top查看是否有特別吃cpu和記憶體的進程,病毒進程kill是殺不死的,因為ps命令被修改
2、ls -la /proc/病毒進程pid/ pwd為病毒進程程式目錄 一般在/usr/bin下
3、/bin/ps,/bin/netsta程式都是1.2M的大小,顯然被人掉包 ps 改成了ips
4、進入/usr/bin下 ls -lart 查看最近被修改的程式 .25unix為守護進程
5、殺死守護進程 (先去掉i許可權,然後刪除,chattr命令被刪除,去一臺正常設備上拷貝一個正常的charrt命令,在/usr/sbin/下)
主要命令:
/tmp/chattr –I /usr/bin/.25unix
rm –rf /usr/bin/.25unix
top出病毒進程並殺死
然後剎子進程
ips -ef |grep "/usr/bin/"
kill -9 殺死進程
6、刪除程式
/tmp/chattr -i 34 lockr .locks dget .bget gurl .curl iss nets dpkgd/* ips .25unix
/tmp/chattr -i /bin/ps
/tmp/chattr -i /bin/ss
/tmp/chattr -i /bin/netstat
/tmp/chattr -i /etc/init.d/Me8ing.conf(將病毒啟動目錄刪除)
/tmp/chattr -i /etc/rc.local (vi將病毒自啟項刪除)
7、恢覆命令
cp /usr/bin/ps /bin/ps
cp /usr/bin/ss /bin/ss
cp /usr/bin/netstat /bin/netstat
恢復被修改的程式
8、中毒後文件變化及修複
/etc/rc.local許可權改了,而且添加了一個開機啟動項,/etc/init.d/下也有病毒啟動程式
/tmp/chattr -i /etc/rc.local
lsattr、chattr命令被刪除
開機自動啟動文件增加2個啟動項
查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
ips -ef |grep "/usr/bin/"
kill -9 殺死進程
執行/tmp/chattr +i 將/usr/bin/ /bin/ /etc/ 目錄加上i許可權,不允許創建.修改和刪除文件
