linux解决病毒系列之一，删除十字符libudev.so病毒文件

前两天被服务器商通知服务器带宽流量增加，我想了想我们服务走的内网，没有什么大的带宽占用，于是我马上登录服务器。

用top命令查看运行情况，我擦，有一个进程吃了很高的cup，于是我赶紧用kill -9 杀掉。本以为结束了，然后过了几分钟，流量又增加了。

我擦，再次用top命令查看一下，我晕又有一个随之字符串的进程出现...如此看来是中病毒了。

这病毒怎么解决了？

比如病毒为：abcdefjhee

1.which abcdefjhee

会发现病毒在 /usr/bin/abcdefjhee 这里

2.cat /etc/crontab 查看定时任务

你会发现定时任务，其余几个定时任务你可查看

3.开干病毒

kill -stop 病毒进程

4.锁定相关目录,暂时不要让新文件生成

chmod 000 /usr/bin/abcdefjhee

chattr +i /usr/bin

chattr +i /bin/

chattr +i /tmp/

5.然后cat /etc/crontab 打开文件，你会看到脚本有个/etc/cron.hourly/gcc.sh的文件

6.然后

cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

7.然后找到位置，把病毒文件删除掉

8.然后吧定时任务中文件删掉
rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

9.移除跟这个病毒相关的信息
find /etc -name '*abcdefjhee*' | xargs rm -f

10.rm -f /usr/bin/abcdefjhee

11.查看最近的运行的命令，奇怪的删掉
ls -lt /usr/bin | head

12.杀死病毒进程
pkill abcdefjhee

13.把最开始文件权限打开
　　chattr -i /usr/bin

　　chattr -i /bin/

　　chattr -i /tmp/

最后用top 在观察，chkconfig --list 查看是否有异常应用占用网络带宽

基本搞定...

这次让我明白了，服务器要做好监控了，不然病毒来了，不好解决