linux服务器随机10字符病毒/libudev4.so病毒清理的过程

故障表现：某天晚上突然收到某项目一台web服务器CPU报警，SSH连接困难卡顿，登陆后发现CPU使用率飙升到700%，第一感觉是被黑了，来事了。

故障处理：

1.登陆上后发现有好多莫名的命令（who/whoami/cat resolv.conf等，可见木马脚本还未被杀禁）kill -9后发现木马进程过段时间还会启动，所以肯定是有计划任务，去查看crontab果然有，删除后，chattr +i /etc/crontab禁止再被修改；

cat /etc/cron.hourly/gcc.sh（也可能是gcc4.sh）

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev4.so /lib/libudev.so.6
/lib/libudev4.so

可以确定/lib/libudev4.so就是木马本体，可是删除后又会产生，用chmod 000 /lib/libudev4.so && chattr +i /lib/libudev4.so 去除执行权限并且锁住，一会再处理掉；

2.再检查别的启动项，/etc/rc.local文件中也被添加了启动脚本,/etc/init.d/中添加了启动项，删除掉并chattr +i  /etc/rc.local && chattr +i  /etc/init.d/；

3.怕黑客还连在服务器上，用who命令看看连接的用户没有异常。检查秘钥，果然看到authorized_keys文件被添加了1个公钥，删除掉并chattr +i  /root/.ssh/authorized_keys； 

至此，登陆的后门和木马的计划任务已经清理结束，开始清理现有木马进程；

 

4.先使用lsof -R | grep "/usr/bin" 查看/usr/bin/下运行的程序，然后使用ls -lt /usr/bin | head 查看/usr/bin下最近修改的文件，pkill掉相关进程，rm -fr /usr/bin/klxgfnwgpc && chattr +i /usr/bin/ 删除并锁定；

/bin下也有，可见这病毒复制之多，同4一样处理掉；

5./etc/rc0.d中也有 删除之 从rc0.d-rc6.d中都有！

！！！至此 木马病毒清理完毕  观察一段时间后没有新的木马生成启动，再把之前锁掉的目录文件用chattr -i解锁掉！！！

 

后记：病毒是因为此台机器上面跑着tomcat，因为struts2漏洞导致的，具体可参考http://www.codesec.net/view/546457.html

 

总结：1.防范最重要，有漏洞一定要重视不要抱着侥幸的心态，即使中招了也不要慌，一步步分析（譬如病毒会杀掉后还会启动，这里就要一定怀疑是有计划任务！）；

         2.病毒程序可能会替换掉一些程序，譬如ps/lsof/netstat/ss这4个命令，要跟别的服务器中相关命令比较下大小就能看出区别，然后拿过来替换掉；

         3.最重要的一点：liunx的时间不会骗人！善用 ls -lt 查看最近修改过的东西就能发现病毒的马脚；

         4.chattr +i加锁；