前言

上传文件的时候发现总是失败,查看top发现有个进程一直cpu占用80%以上,而且名称还是随机数。kill之后,一会儿又重新生成了。突然发现居然没有在服务端杀毒的经历。在此处补齐。

安装clamav

http://www.linuxdiyf.com/linux/18635.html

http://www.linuxidc.com/Linux/2013-09/90021.htm

http://www.linuxidc.com/Linux/2013-08/88981.htm

扫描

clamscan -r /usr/bin -l /home/clamav.log --remove
  • -r表示文件夹递归
  • /usr/bin是病毒扫描目录
  • -l 是小写的L,后面是日志文件
  • --remove是删除掉病毒,但如果害怕误删除应该--move.不过我就直接删除了。

结果:

----------- SCAN SUMMARY -----------

Known viruses: 5180110

Engine version: 0.99.2

Scanned directories: 29655

Scanned files: 167613

Infected files: 9

Total errors: 22919

Data scanned: 8238.96 MB

Data read: 11093.36 MB (ratio 0.74:1)

Time: 1264.429 sec (21 m 4 s)

然后查看日志:

[root@121 bin]# more /home/clamav.log | grep Removed

/usr/bin/cnndpyizhj: Removed.

/usr/bin/nrklkyfekn: Removed.

/usr/bin/gdyyzgtmlj: Removed.

/usr/bin/ledzqwnycy: Removed.

/usr/bin/idtzyjxhxe: Removed.

/usr/bin/ikeabglldp: Removed.

/usr/bin/qbfqilhtiw: Removed.

/usr/bin/chwrmovzsx: Removed.

/usr/lib/libudev.so: Removed.

看到几个病毒文件给删除。然后病毒原体libudev.so也删除。还以为皆大欢喜,可以睡觉了。谁知道过了没多久,又看到病毒肆虐了。第一次这么仇恨病毒。于是百度 libudev.so找到很多随机10字母病毒的文章。按照顺序删除文件,效果还不错。

问题

上传文件到服务器,发现总是卡着。以为是网路问题,结果表明是系统繁忙。罪魁祸首是一个随机英文10字母的病毒。会在/etc/init.d下生成启动文件,会在/usr/bin/xxxx下生成xxxx文件。kill后会重新生成新的进程和文件。所以,必须找到病毒原体。

解决

首先,查看定时任务。

crontab -l

没有任何任务。

[root@121 init.d]# cat /etc/crontab

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

# For details see man 4 crontabs

# Example of job definition:

# .---------------- minute (0 - 59)

# |  .------------- hour (0 - 23)

# |  |  .---------- day of month (1 - 31)

# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...

# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# |  |  |  |  |

# *  *  *  *  * user-name  command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh

发现一个gcc脚本,不是我们创建的,显然是病毒。查看发现原来在执行一个叫做libudev.so的脚本。

删除病毒

我手动删除了crontab里的任务,但发现很快又被创建了。所以必须停止掉进程。参考的几篇文章在最后,采用了如下做法:

  • kill -stop {pid} #查看top的pid,停止它而不是-9
  • chmod 000 /usr/bin/xxxxxxx && chattr +i /usr/bin 最后一个锁定目录,不允许添加。不允许添加很重要
  • cd /etc/init.d 然后删除不认识的启动项目
  • 删除gcc.sh
  • 删除crontab任务
  • 删除 /lib/libude.so /lib/libudev.so.6
  • 删除产生的文件
  • 最后再删除一遍crontab里重新生成的任务
[root@121 bin]# ls -lt | head

total 205196

-rwxr-xr-x. 1 root root           0 Dec  3 17:57 mtexjsonvz

-rwxr-xr-x. 1 root root        4096 Dec  3 17:30 jqgcppiqrt

-rwxr-xr-x. 1 root root           0 Dec  3 17:18 nchnwflgyw

-rwxr-xr-x. 1 root root           0 Dec  3 17:11 orymfmjitf

-rwxr-xr-x. 1 root root        4096 Dec  3 17:07 sbzqxjzvyk

-rwxr-xr-x. 1 root root        4096 Dec  3 17:04 mmmyfojril

-rwxr-xr-x. 1 root root        4096 Dec  3 16:48 dfkcgwfuff

-rwxr-xr-x. 1 root root           0 Dec  3 16:43 psuiwjkapn

-rwxr-xr-x. 1 root root       36864 Dec  3 16:43 lnovkdrabl

[root@121 bin]# rm -rf mtexjsonvz jqgcppiqrt nchnwflgyw orymfmjitf sbzqxjzvyk mmmyfojril dfkcgwfuff psuiwjkapn lnovkdrabl

过一会,看看会不会产生信息的进程。如果没事了就解锁/usr/bin:

chattr -i /usr/bin

到目前为止,还没看到新的病毒产生。杀毒完成。

参考

在centos7上安装ClamAV杀毒,并杀毒(centos随机英文10字母)成功的更多相关文章

  1. 在centos7上安装Jenkins

    在centos7上安装Jenkins 安装 添加yum repos,然后安装 sudo wget -O /etc/yum.repos.d/jenkins.repo http://pkg.jenkins ...

  2. 在 CentOS7 上安装 zookeeper-3.4.9 服务

    在 CentOS7 上安装 zookeeper-3.4.9 服务 1.创建 /usr/local/services/zookeeper 文件夹: mkdir -p /usr/local/service ...

  3. 在 CentOS7 上安装 MongoDB

    在 CentOS7 上安装 MongoDB 1 通过 SecureCRT 连接至 CentOS7 服务器: 2 进入到 /usr/local/ 目录: cd /usr/local 3 在当前目录下创建 ...

  4. 在 CentOS7 上安装 MySQL5.7

    在 CentOS7 上安装 MySQL5.7 1 通过 SecureCRT 连接到阿里云 CentOS7 服务器: 2 进入到目录 /usr/local/ 中: cd /usr/local/ 3 创建 ...

  5. 在 CentOS7 上安装 Tomcat9

    在 CentOS7 上安装 Tomcat9 1 通过 SecureCRT 连接到阿里云 CentOS7 服务器: 2 进入到目录 /usr/local/ 中: cd /usr/local/ 3 创建目 ...

  6. 在CentOS7上安装JDK1.8

    在CentOS7上安装JDK1.8 1 通过 SecureCRT 连接到阿里云 CentOS7 服务器: 2 进入到目录 /usr/local/ 中: cd /usr/local/ 3 创建目录 to ...

  7. 在Centos7上安装漏洞扫描软件Nessus

    本文摘要:简单叙述了在Centos7上安装Nessus扫描器的过程   Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件,Nessus的用户界面是基于Web界面来访问Nessus漏洞扫描器 ...

  8. 如何在centos7上安装源码包

    在我们使用linux的过程中,有很多程序是通过红帽官网给的系统中安装的,但是一般来说,系统更新的速度比较慢,如果这个时候我们又想用最新版的该怎么办呢?总不能一直等系统升级吧╮(╯﹏╰)╭所以,我们可以 ...

  9. centos7上安装0penStack

    centos7上安装0penStack author:headsen chen 2017-10-09  20:41:54 个人原创,欢迎转载,请注明作者,出去,否则依法追究责任 一,准备工作(配置ip ...

随机推荐

  1. Asp.net Boilerplate源码中NotNullAttribute的用处

    看Asp.net Boilerplate 1.1.3.0源码时发现有一个NotNullAttribute的定义和27处的引用,就是不知道它的作用,当然顾名思义是可以的,就是不知道它是怎么判断的,在哪里 ...

  2. 使用Zabbix监控Oracle数据库

    Orabbix介绍 监控Oracle数据库我们需要安装第三方提供的Zabbix插件,我们先测试比较有名的Orabbix,http://www.smartmarmot.com/product/orabb ...

  3. [WCF]缺少一行代码引发的血案

    这是今天作项目支持的发现的一个关于WCF的问题,虽然最终我只是添加了一行代码就解决了这个问题,但是整个纠错过程是痛苦的,甚至最终发现这个问题都具有偶然性.具体来说,这是一个关于如何自动为服务接口(契约 ...

  4. app引导页(背景图片切换加各个页面动画效果)

    前言:不知不觉中又加班到了10点半,整个启动页面做了一天多的时间,一共有三个页面,每个页面都有动画效果,动画效果调试起来麻烦,既要跟ios统一,又要匹配各种不同的手机,然后产品经理还有可能在中途改需求 ...

  5. 对Thoughtworks的有趣笔试题实践

    记得2014年在网上看到Thoughtworks的一道笔试题,当时觉得挺有意思,但是没动手去写.这几天又在网上看到了,于是我抽了一点时间写了下,我把程序运行的结果跟网上的答案对了一下,应该是对的,但是 ...

  6. 深入学习jQuery自定义插件

    原文地址:jQuery自定义插件学习 1.定义插件的方法 对象级别的插件扩展,即为jQuery类的实例增加方法, 调用:$(选择器).函数名(参数);      $(‘#id’).myPlugin(o ...

  7. notepad++设置默认打开txt文件失效的解决方法

    1.系统环境 win10企业版,64位系统 2.初步设置 设置txt默认为notepad++打开,菜单:设置->首选项->文件关联 选择对应的文件扩展,点击"关闭"按钮 ...

  8. C# 索引器,实现IEnumerable接口的GetEnumerator()方法

    当自定义类需要实现索引时,可以在类中实现索引器. 用Table作为例子,Table由多个Row组成,Row由多个Cell组成, 我们需要实现自定义的table[0],row[0] 索引器定义格式为 [ ...

  9. 通过自定义特性,使用EF6拦截器完成创建人、创建时间、更新人、更新时间的统一赋值(使用数据库服务器时间赋值,接上一篇)

    目录: 前言 设计(完成扩展) 实现效果 扩展设计方案 扩展后代码结构 集思广益(问题) 前言: 在上一篇文章我写了如何重建IDbCommandTreeInterceptor来实现创建人.创建时间.更 ...

  10. 6_Win7下Chrome主页被流氓网站hao123.com劫持后的解决方法。

    今天安装了一个PDF阅读器,免费的,你懂的,结果自己安装的时候没有将默认的选项取消,就被hao123流氓网站劫持啦. 说实话某免费PDF阅读器还算好的,有一个可以供你选择的项.不想某些软件直接就默认选 ...