linux 病毒 sfewfesfs

         由于昨天在內(nèi)網(wǎng)http://www.jyygyx.com/server/A不謹慎rm -fr / ，致使http://www.jyygyx.com/server/A完蛋，重裝系統(tǒng)后，不知道啥緣由，局域網(wǎng)癱瘓不能上網(wǎng)，最后發(fā)現(xiàn)內(nèi)網(wǎng)http://www.jyygyx.com/server/A的1個進程sfewfesfs cpu 300%。路由器被網(wǎng)絡阻塞啦。 因而百度這個病毒：都說該病毒很變態(tài)。第1次中l(wèi)inux病毒，幸虧是內(nèi)網(wǎng)，感覺比較爽。（總結(jié)網(wǎng)絡內(nèi)容，引以為戒）

1、病毒現(xiàn)象

http://www.jyygyx.com/server/不停向外網(wǎng)發(fā)送數(shù)據(jù)包，占網(wǎng)絡帶寬，乃至致使路由器頻沉重啟。

1) 通過top 或ps -ef 發(fā)現(xiàn)名為sfewfesfs的進程還有.sshddXXXXXXXXXXX（1串隨機數(shù)字）的進程。/etc/下能看到名為sfewfesfs，nhgbhhj等多個奇怪名字的文件。重啟后1插網(wǎng)線立即開始履行

2）通過sar -n DEV 就能夠看到往外發(fā)包的情況。

3）netstat -natlp 可以看到使用哪些端口

2、分析可能緣由

曾1度懷疑是安裝u盤的問題，安裝盤是u盤制作的系統(tǒng)安裝引導盤，裝入系統(tǒng)之前是格式化了。看了網(wǎng)上的資料，應當不是，U盤的問題。

應當開放了http://www.jyygyx.com/server/的ssh的22端口，并且開放ssh的遠程root登陸。這個http://www.jyygyx.com/server/又可以通過路由器代理進來，并且登陸密碼也不是那末復雜。可能被黑了。

22端口的root權(quán)限還是不要開了，no　zuo　no　die，頭1次經(jīng)歷linux中毒曾1度以為是很安全的操作系統(tǒng)。

3、解決辦法

1）先看看被攻擊者修改過的：/etc/rc.local文件：

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

這是修改過的內(nèi)容。
這里可以看到，他啟動1系列的進程，并且最后還把防火墻給你關(guān)掉了。
那現(xiàn)在好辦了。先找到以上對應的所有文件全部刪除。

2）刪除病毒文件sfewfesfs

進到/etc/ 下面找到與進程對應的文件名 刪掉。

sudo chattr -i /etc/sfewfesfs*  

sudo rm -rf /etc/sfewfesfs*

3） 刪除.SSH2和.SSHH2

這個時候還是不行的，由于這程序啟動后，會衍生出很多的進程。這個時候，找到/etc/下的.SSH2和.SSHH2刪掉。以后找到/tmp/下面所有以.SSH開始的文件，全部刪掉。

用ls -al看到.SSH2隱藏文件，刪除

rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;

/etc和/tmp可能有.sshdd1401029348隱藏文件 用ls -al看到，刪除
sudo rm -rf /tmp/.sshdd140*

4）刪除計劃任務：

到/var/spool/cron/下面把root 和root.1刪掉。

sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1

這個時候，病毒程序基本清楚完全了。

5）22端口的root權(quán)限還是不要開了：

修改外網(wǎng)映照22端口到XXXX
修改root密碼
passwd

關(guān)閉root的22權(quán)限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no

5）重啟http://www.jyygyx.com/server/

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學習有所幫助,可以手機掃描二維碼進行捐贈