点击登录
  • 欢迎访问无限星辰技术博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏无限星辰吧
  • 好集导航开张了,传送门:好集导航

sfewfesfs病毒查杀方法

LINUX服务器 crx349 6321次浏览 0个评论 扫描二维码

击者修改过的:/etc/rc.local 还原

netstat -nltp

发现有三个可疑链接文件名如下

sfewfesfs

sshdd14XXXXXXXX(一串随机数字)

sshhdd14XXXXXXXX(一串随机数字)

查看文件进程PID路径

ps -axu | grep -i sfewfesfs

ps -axu | grep -i sshdd14*

ps -axu | grep -i sshhdd14*

发现sfewfesfs和nhgbhhj在/etc下

首先解除删除权限chattr -i /etc/sfewfesfs*

 rm -rf /etc/sfewfesfs*

看到名为nhgbhhj等的可疑文件一并删除

rm -rf /etc/nhgbhhj

rm -rf /etc/nhgbhhj*

chattr -i /etc/whitptabil*

rm -rf /etc/whitptabil*

chattr -i /etc/sfewfesfs*

rm -rf /etc/sfewfesfs*

chattr -i /etc/gfhjrtfyhuf*

rm -rf /etc/gfhjrtfyhuf*

chattr -i /etc/rewgtf3er4t*

rm -rf /etc/rewgtf3er4t*

chattr -i /etc/fdsfsfvff*

rm -rf /etc/fdsfsfvff*

chattr -i /etc/smarvtd*

rm -rf /etc/smarvtd*

chattr -i /etc/gdmorpen*

rm -rf /etc/gdmorpen*

chattr -i /tmp/sfewfesfs*

rm -rf /tmp/sfewfesfs*

chattr -i /tmp/rewgtf3er4t*

rm -rf /tmp/rewgtf3er4t*

chattr -i /tmp/gfhjrtfyhuf*

rm -rf /tmp/gfhjrtfyhuf*

chattr -i /tmp/gdmorpen*

rm -rf /tmp/gdmorpen*

删除计划任务,防止病毒再次生成

rm -rf /var/spool/cron/root

rm -rf /var/spool/cron/root.1

用ls -al /etc看到.SSH2(还有可能是.SSHH2)隐藏文件,删除

rm -rf /etc/.SSH2

rm -rf /etc/.SSHH2

用ls -al /tmp看到.sshdd14XXXXXXXX(一串随机数字)或.sshhdd14XXXXXXXX(一串随机数字)隐藏文件,删除

rm -rf /tmp/.sshdd14*

rm -rf /tmp/.sshhdd14*

重启服务器后,一切恢复正常。


无限星辰 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明sfewfesfs病毒查杀方法!
喜欢 (0)
[]
分享 (0)

您必须 登录 才能发表评论!