兩種linux服務器中病毒解決案例

28、Linux系統中病毒怎么解決
1）最簡單有效的方法就是重裝系統
2）要查的話就是找到病毒文件然后刪除
中毒之后一般機器cpu、內存使用率會比較高
機器向外發包等異常情況，排查方法簡單介紹下

top 命令找到cpu使用率最高的進程
一般病毒文件命名都比較亂，可以用 ps aux 找到病毒文件位置 
rm -f  命令刪除病毒文件
檢查計划任務、開機啟動項和病毒文件目錄有無其他可以文件等

3）由於即使刪除病毒文件不排除有潛伏病毒，所以最好是把機器備份數據之后重裝一下

29、發現一個病毒文件你刪了他又自動創建怎么解決
公司的內網某台linux服務器流量莫名其妙的劇增,用iftop查看有連接外網的情況
針對這種情況一般重點查看netstat連接的外網ip和端口。

用lsof -p pid可以查看到具體是那些進程，哪些文件
經查勘發現/root下有相關的配置conf.n hhe兩個可疑文件，rm -rf后不到一分鍾就自動生成了
由此推斷是某個母進程產生的這些文件。所以找到母進程就是找到罪魁禍首

查殺病毒最好斷掉外網訪問，還好是內網服務器，可以通過內網訪問
斷了內網，病毒就失去外聯的能力，殺掉它就容易的多
怎么找到呢，找了半天也沒有看到蛛絲馬跡，沒辦法只有ps axu一個個排查
方法是查看可以的用戶和和系統相似而又不是的冒牌貨，果然，看到了如下進程可疑

看不到圖片就是/usr/bin/.sshd
於是我殺掉所有.sshd相關的進程，然后直接刪掉.sshd這個可執行文件
然后才刪掉了文章開頭提到的自動復活的文件

總結一下，遇到這種問題，如果不是太嚴重，盡量不要重裝系統
一般就是先斷外網，然后利用iftop,ps,netstat,chattr,lsof,pstree這些工具順藤摸瓜
一般都能找到元凶。但是如果遇到諸如此類的問題
/boot/efi/EFI/redhat/grub.efi: Heuristics.Broken.Executable FOUND，個人覺得就要重裝系統了