击者修改过的:/etc/rc.local 还原
netstat -nltp
发现有三个可疑链接文件名如下
sfewfesfs
sshdd14XXXXXXXX(一串随机数字)
sshhdd14XXXXXXXX(一串随机数字)
查看文件进程PID路径
ps -axu | grep -i sfewfesfs
ps -axu | grep -i sshdd14*
ps -axu | grep -i sshhdd14*
发现sfewfesfs和nhgbhhj在/etc下
首先解除删除权限chattr -i /etc/sfewfesfs*
rm -rf /etc/sfewfesfs*
看到名为nhgbhhj等的可疑文件一并删除
rm -rf /etc/nhgbhhj
rm -rf /etc/nhgbhhj*
chattr -i /etc/whitptabil*
rm -rf /etc/whitptabil*
chattr -i /etc/sfewfesfs*
rm -rf /etc/sfewfesfs*
chattr -i /etc/gfhjrtfyhuf*
rm -rf /etc/gfhjrtfyhuf*
chattr -i /etc/rewgtf3er4t*
rm -rf /etc/rewgtf3er4t*
chattr -i /etc/fdsfsfvff*
rm -rf /etc/fdsfsfvff*
chattr -i /etc/smarvtd*
rm -rf /etc/smarvtd*
chattr -i /etc/gdmorpen*
rm -rf /etc/gdmorpen*
chattr -i /tmp/sfewfesfs*
rm -rf /tmp/sfewfesfs*
chattr -i /tmp/rewgtf3er4t*
rm -rf /tmp/rewgtf3er4t*
chattr -i /tmp/gfhjrtfyhuf*
rm -rf /tmp/gfhjrtfyhuf*
chattr -i /tmp/gdmorpen*
rm -rf /tmp/gdmorpen*
删除计划任务,防止病毒再次生成
rm -rf /var/spool/cron/root
rm -rf /var/spool/cron/root.1
用ls -al /etc看到.SSH2(还有可能是.SSHH2)隐藏文件,删除
rm -rf /etc/.SSH2
rm -rf /etc/.SSHH2
用ls -al /tmp看到.sshdd14XXXXXXXX(一串随机数字)或.sshhdd14XXXXXXXX(一串随机数字)隐藏文件,删除
rm -rf /tmp/.sshdd14*
rm -rf /tmp/.sshhdd14*
重启服务器后,一切恢复正常。
