1、top查看是否有特別吃cpu和內存的進程,病毒進程kill是殺不死的,因為ps命令被修改
2、ls -la /proc/病毒進程pid/ pwd為病毒進程程序目錄 一般在/usr/bin下
3、/bin/ps,/bin/netsta程序都是1.2M的大小,顯然被人掉包 ps 改成了ips
4、進入/usr/bin下 ls -lart 查看最近被修改的程序 .25unix為守護進程
5、殺死守護進程 (先去掉i權限,然后刪除,chattr命令被刪除,去一台正常設備上拷貝一個正常的charrt命令,在/usr/sbin/下)
主要命令:
/tmp/chattr –I /usr/bin/.25unix
rm –rf /usr/bin/.25unix
top出病毒進程並殺死
然后剎子進程
ips -ef |grep "/usr/bin/"
kill -9 殺死進程
6、刪除程序
/tmp/chattr -i 34 lockr .locks dget .bget gurl .curl iss nets dpkgd/* ips .25unix
/tmp/chattr -i /bin/ps
/tmp/chattr -i /bin/ss
/tmp/chattr -i /bin/netstat
/tmp/chattr -i /etc/init.d/Me8ing.conf(將病毒啟動目錄刪除)
/tmp/chattr -i /etc/rc.local (vi將病毒自啟項刪除)
7、恢復命令
cp /usr/bin/ps /bin/ps
cp /usr/bin/ss /bin/ss
cp /usr/bin/netstat /bin/netstat
恢復被修改的程序
8、中毒后文件變化及修復
/etc/rc.local權限改了,而且添加了一個開機啟動項,/etc/init.d/下也有病毒啟動程序
/tmp/chattr -i /etc/rc.local
lsattr、chattr命令被刪除
開機自動啟動文件增加2個啟動項
查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
ips -ef |grep "/usr/bin/"
kill -9 殺死進程
執行/tmp/chattr +i 將/usr/bin/ /bin/ /etc/ 目錄加上i權限,不允許創建.修改和刪除文件