由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。 于是百度这个病毒:都说该病毒很变态。第一次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒)

1、病毒现象

服务器不停向外网发送数据包,占网络带宽,甚至导致路由器频繁重启。

1) 通过top 或者ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行

2)通过sar -n DEV 就可以看到往外发包的情况。

3)netstat -natlp 可以看到使用哪些端口

2、分析可能原因

曾一度怀疑是安装u盘的问题,安装盘是u盘制作的系统安装引导盘,装入系统之前是格式化了。看了网上的资料,应该不是,U盘的问题。

应该开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。这个服务器又可以通过路由器代理进来,并且登陆密码也不是那么复杂。可能被黑了。

22端口的root权限还是不要开了,no zuo no die,头一次经历linux中毒曾一度以为是很安全的操作系统。

3、解决办法

1)先看看被攻击者修改过的:/etc/rc.local文件:

cd
/tmp;./sfewfesfs

cd /tmp;./gfhjrtfyhuf

cd /tmp;./rewgtf3er4t

cd /tmp;./fdsfsfvff

cd /tmp;./smarvtd

cd /tmp;./whitptabil

cd /tmp;./gdmorpen

cd /etc;./sfewfesfs

cd /etc;./gfhjrtfyhuf

cd /etc;./rewgtf3er4t

cd /etc;./fdsfsfvff

cd /etc;./smarvtd

cd /etc;./whitptabil

cd /etc;./gdmorpen

cd /tmp;./sfewfesfs

cd /tmp;./gfhjrtfyhuf

cd /tmp;./rewgtf3er4t

cd /tmp;./fdsfsfvff

cd /tmp;./smarvtd

cd /tmp;./whitptabil

cd /tmp;./gdmorpen

cd /etc;./sfewfesfs

cd /etc;./gfhjrtfyhuf

cd /etc;./rewgtf3er4t

cd /etc;./fdsfsfvff

cd /etc;./smarvtd

cd /etc;./whitptabil

cd /etc;./gdmorpen

这是修改过的内容。

这里可以看到,他启动一系列的进程,并且最后还把防火墙给你关掉了。

那现在好办了。先找到以上对应的所有文件全部删除。

2)删除病毒文件sfewfesfs

进到/etc/
下面找到与进程对应的文件名 删掉。



sudo chattr -i /etc/sfewfesfs*

sudo rm -rf /etc/sfewfesfs*

3) 删除.SSH2和.SSHH2

这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。

用ls
-al看到.SSH2隐藏文件,删除

rm -rf/etc/ SSH2;

rm -rf/etc/ .SSHH2;

rm -rf/tmp/.SSH*;

/etc和/tmp可能有.sshdd1401029348隐藏文件
用ls -al看到,删除

sudo rm -rf /tmp/.sshdd140*

4)删除计划任务:

到/var/spool/cron/下面把root
和root.1删掉。

sudo
rm -rf /var/spool/cron/root

sudo rm -rf /var/spool/cron/root.1

这个时候,病毒程序基本清楚完整了。

5)22端口的root权限还是不要开了:

修改外网映射22端口到XXXX

修改root密码

passwd



关闭root的22权限

在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成

PermitRootLogin no

5)重启服务器

linux 病毒 sfewfesfs的更多相关文章

  1. linux病毒

    linux病毒查杀规范 一.病毒发现 1.ps -A.ps -ef.ps -aux查看是否有异常进程 2.last,lastlog命令可查看最近登录的帐户及时间 3.查看/var/log/messag ...

  2. 瑞星发布Linux系统安全报告:Linux病毒或将大面积爆发

    近半年来,由于中央推荐使用国产Linux操作系统,国产Linux操作系统开始受到政府机关及大型企事业机关单位的高度重视.很多人都认为,以Linux系统为基础的国产操作系统最符合国家.政府和企业信息安全 ...

  3. clamav完整查杀linux病毒实战(转)

    开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

  4. 我的Linux病毒追踪记录

    第一次自己一个人全权负责做游戏服务器,对于Linux安全并不太懂,所以就在昨天,服务器遭到了攻击,刚开始,只是发现服务器的带宽占满了,以为是带宽不够用,可是想想,弱联网游戏对带宽占用也不高啊而且带宽加 ...

  5. 记一次阿里云linux病毒清理过程

    1.起因   因为这台服务器是我们公司内部开发服务器,几乎每个人都有root密码.在两天前突然有同事反馈说偶尔会有ssh连不上,git代码无法提交的问题,刚开始也没有在意,以为是阿里云服务器网络波动的 ...

  6. clamav完整查杀linux病毒实战(摘抄)

    http://dadloveu.blog.51cto.com/blog/715500/1882521 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,L ...

  7. Linux病毒扫描工具ClamAV(Clam AntiVirus)安装使用

    在线检测木马病毒的网址:https://www.virustotal.com/gui/home/upload 一.简介 ClamAV(Clam AntiVirus)是Linux平台上的开源病毒扫描程序 ...

  8. 真实记录疑似Linux病毒导致服务器 带宽跑满的解决过程

    案例描述 由于最近我在重构之前的APP,需要和server端进行数据交互,发现有一个现象,那么就是隔1~2天总会发生获取数据超时的问题,而且必须要重启服务器才能解决.早在之前,我有留意到这个问题,但是 ...

  9. 记一则Linux病毒的处理

    今天某项目经理反馈学校的某台服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程.删除文件也会重复生成,非常痛 ...

随机推荐

  1. 使用C#调用windows API入门

    一:入门,直接从 C# 调用 DLL 导出   其实我们的议题应该叫做C#如何直接调用非托管代码,通常有2种方法: 1.  直接调用从 DLL 导出的函数. 2.  调用 COM 对象上的接口方法 我 ...

  2. Are Landing Pages Killing Your Conversion Rate?

    http://searchenginewatch.com/sew/how-to/2411253/are-landing-pages-killing-your-conversion-rate

  3. 使用JS对HTML标签进行增删改查

    以下为通过JS对li标签进行简单的增删改查: <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" ...

  4. HTML5--》点击显示隐藏内容

    <details>浏览器支持比较差,可以用JavaScript实现这种功能. <!doctype html> <html> <head> <met ...

  5. console.log在线调试

    前端开发人员工作有时候会用到console.log,PC端直接能打开开发者工具.但是移动端就不太方便了,为此提供一种简单的方法,只需2步: 1.打开http://jsconsole.com/  输入: ...

  6. PayPal 开发详解(七):运行REST API SAMPLE

    1.编译成功,修改配置文件 sdk_config.properties ,使用我们申请的测试帐号执行收款测试,clientId 和 clientSecret 参见 PayPal 开发详解(五) 2.将 ...

  7. Python之路【第二篇】:Python基础(一)

    一.作用域 对于变量的作用域,执行声明并在内存中存在,该变量就可以在下面的代码中使用. 1 2 3 if 1==1:     name = 'wupeiqi' print  name 下面的结论对吗? ...

  8. 乐够GO应用源码完整版

    乐够GO应用源码完整版 V1.0,系统2.3以上使用,需要联网,每天定时更新数据,实现了对文章赞的功能,以及常用的评论功能,还有生活的职业的相关功能,如查找功能,分类的分类等功能,具体大家可以看看应用 ...

  9. python yield用法举例说明

    1  yield基本用法 典型的例子: 斐波那契(Fibonacci)數列是一个非常简单的递归数列,除第一个和第二个数外,任意一个数都可由前两个数相加得到.1 2 3 5 8…… def fab(ma ...

  10. CentOS学习笔记--时间

    时间 有装过Linux系统的人,可能都会有这样的经历,就是该机器安装windows系统时,时间正确,但是安装了linux系统后,尽管时区选择正确,也会发现系统时间不对.这是由于安装系统时采用了UTC, ...