linux系统中病毒怎么办

linux系统中病毒怎么办,第1张

1、最简单有效的方法就是重装\x0d\x0a2、要查的话就是找到病毒文件然后删除;中毒之后一般机器cpu、内存使用率会比较高,机器向外发包等异常情况,排查方法简单介绍下:\x0d\x0a#top命令找到cpu使用率最高的进程,一般病毒文件命名都比较乱\x0d\x0a#可以用ps aux 找到病毒文件位置 \x0d\x0a#rm -f 命令删除病毒文件\x0d\x0a#检查计划任务、开机启动项和病毒文件目录有无其他可以文件等\x0d\x0a3、由于即使删除病毒文件不排除有潜伏病毒,所以最好是把机器备份数据之后重装一下。

win32.ramnit.a个人建议你用如下方法处理:

(1)重启后,F8 进带网络安全模式(2)用360安全卫士依次进行:清除插件、清除垃圾、清除痕迹、系统修复、高级工具“开机启动项管理”一键优化、使用“木马查杀”杀木马,用360杀毒全盘杀毒。

如果还没清除用下以方案:

(3)重新启动,F8 进带网络安全模式(4)用360系统急救箱试一试 ,希望能帮助你

方法/步骤

首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面

我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量。

这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,查看系统日志,也没有看到什么异常,我赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。

这是个什么进程呢,我每次ps -ef都不一样,一直在变动,进程号一一直在变动中,我想看看进程打开了什么文件都行,一时无从下手,想到这里,我突然意识到这应该都是一些子进程,由一个主进程进行管理,所以看这些子进程是没有用的,即便我杀掉他们还会有新的生成,擒贼先擒王,我们去找一下主进程,我用top d1实时查看进程使用资源的情况,看看是不是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是我们寻找的木马主进程。

我尝试杀掉这个进程,killall -9 ueksinzina,可是杀掉之后ps -ef查看还是有那些子进程,难道没有杀掉?再次top d1查看,发现有出现了一个其他的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是木马了。

可以看到里面有个定时任务gcc4.sh,这个不是我们设定的,查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,我们这边把有关的配置全部删掉,并且删掉/lib/libudev4.so。

在/etc/init.d/目录下面也发现了这个文件。

里面的内容是开机启动的信息,这个我们也给删掉

到此为止,没有新的木马进程生成,原理上说是结束掉了木马程序,后面的工作就是要清楚这些目录产生的文件,经过我寻找,首先清除/etc/init.d目录下面产生的木马启动脚本,然后清楚/etc/rc#.d/目录下面的连接文件。

后来我查看/etc目录下面文件的修改时间,发现ssh目录下面也有一个新生成的文件,不知道是不是有问题的。清理差不多之后我们就要清理刚才生成的几个文件了,一个一个目录清楚,比如"chattr -i /tmp",然后删除木马文件,以此类推删除/bin、/usr/bin目录下面的木马,到此木马清理完毕。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/7282507.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-03
下一篇 2023-04-03

发表评论

登录后才能评论

评论列表(0条)

保存