发现病毒文件，删除后又自动创建怎么办#yyds干货盘点#

Posted 2022-02-22 wangzx_mm

公司的内网某台liunx服务器流量莫名其妙的剧增，用iftop查看有连接外网的情况

针对这种情况一般重点查看netstat连接的外网IP和端口。用lsof -p pid 可以查看到具体是那些进程，那些文件，经查勘发现/root下有相关的配置conf.n hhe两个可疑的文件，rm -rf后不到一分钟就自动生成了，由此推断是某个母进程产生的这些文件，所以找到母进程就是找到罪魁祸首了，查杀病毒最好断掉外网访问，还好是内网服务器，可以通过内网访问断了内网，病毒就失去外联的能力，杀掉它就容易的多，怎么找到呢？

找了半天也没有看到蛛丝马迹，没办法只有ps axu一个个排查，方法是查看可以的用户和和系统相似而又不 是的冒牌货，果然，看到了如下进程可疑，看不到图片是/usr/bin/.sshd，

于是我杀掉 所有**.sshd相关的进程**，然后直接删掉.sshd这个可执行文件，然后才删掉了文章开头提到 的自动复活的文件 总结一下，遇到这种问题，如果不是太严重，尽量不要重装系统 一般就是先断外网，然后利用iftop,ps,netstat,chattr,lsof,pstree这些工具顺藤摸瓜 一般 都能找到元凶。但是如果遇到诸如此类的问**/boot/efifi/EFI/redhat/grub.efifi:**

Heuristics.Broken.Executable FOUND，个人觉得就要重装系统了