linux随机10字母病毒

病毒表现：网络流量暴满，疯狂地向香港的一个IP发数据，同时在top里面表现为随机的10位字母的进程，看/proc里面的信息，则为ls，cd之类常见的命令，CPU利用率也在top之首。杀死该进程后，会再随机产生一个新的进程。 清楚病毒步骤：查看/proc/_pid/cmdline里面全是伪造信息，随机产生ps、su、top等命令；
由于病毒产生大量的流量，先使用iptables封掉出口IP，当病毒检测流量发布出去后会进入监听状态，监听端口；
想到病毒一般都会有检测机制，所以查找其根文件，crontab、/etc/rc.d/init.d、/etc/rc3.d/、/etc/rc.d/rc.local、systemd，查看这些相关文件，果然有收获：


这个病毒居然会定时！！！果断注释掉这行，先别删，不然会自动创建；查看/etc/cron.hourly里面的gcc文件：


太6了，防不胜防啊，居然会在/lib目录下做手脚，邪不胜正，咱们搞定它！到/lib目录下，查看病毒文件，发现是可执行的文件，进行如下操作：
a) file libudev.so查看文件内容
b) rm –rf /lib/libudev.so &chattr +i /lib；限制/lib目录写入文件
c) 然后回到/etc/cron.hourly目录下，删除gcc4.sh文件；
lsof -R|grep “/usr/bin”查看进程，发现随机产生的命令其ppid（夫进程）为1，则跟/etc/init.d某个服务有关，查看：


到/etc/init.d下查看，有病毒文件：


查看病毒文件：


所以病毒会在/bin下产生，遂进行删除，删除后发现会重新生成，决定先锁住/bin目录（我之前删了好久，就是忘了这一步，不然可以省掉很多时间！哭！）：
a) rm –rf /usr/bin/asdjhrsdrf & chattr +i /usr/bin
此时病毒如果还是在的，top看一下，然后删除主进程，删除病毒产生的相关文件就ok了！