Linux 病毒跑满带宽处理

Posted 2020-06-18

事故说明：

   周一到公司，登录邮件服务器断断续续徐，无法一直连接。查看本机一切正常，这时候机房打电话说我们服务器带宽异常，如下：

赶紧登录自己zabbix 监控，逐台查找，找到问题服务器：

登录到相关服务器,查看网卡状况：

服务器跑的我们自己的程序和几个简单的服务，去查日志，均未发现异常，查看系统状态，发现异常，有个进程尽然消耗CPU较高，特别可疑：

kill 掉这个进程后，竟然产生了其他的进程，看来这个进程不是那么容易的被杀掉:

哇，占用CPU更高了，竟然800%，看来这个木马进程不能轻易被杀掉，查找这个命令的路径：`which qsvtzrwjje`,查看任务计划发现异常：

查看脚本内容：

删除掉脚及内容涉及的文件，在系统启动时/etc/init.d下也发现这个文件：

删除这个文件后，在系统启动/etc/rcX.d 下每个级别都发现这个文件的无效链接，需要一一删除：

 

必须尽快清理掉:

1.去掉执行权限，并锁定目录

chmod 000 /usr/bin/ezymivavhq

chattr +i /usr/bin/

chattr +i /bin

chattr +i /tmp

2.删除文件：

rm -f /etc/init.d/ezymivavhq

rm -f /etc/rcX.d/ 无效链接

3.杀掉进程及执行文件

killall ezymivavhq

rm -f /usr/bin/ezymivavhq

过几分钟检查发现系统恢复正常。

安装rkhunter检查系统：

https://sourceforge.net/projects/rkhunter/

tar -xf rkhunter-1.4.2.tar.gz

cd rkhunter-1.4.2

sh installer.sh --install

执行检查：

/usr/local/bin/rkhunter -c

没有发现异常。

本文出自 “运维菜鸟” 博客，请务必保留此出处http://ckl893.blog.51cto.com/8827818/1748345