linux 病毒 sfewfesfs

         由于昨天在內網http://www.vxbq.cn/server/A不謹慎rm -fr / ，致使http://www.vxbq.cn/server/A完蛋，重裝系統后，不知道啥緣由，局域網癱瘓不能上網，最后發現內網http://www.vxbq.cn/server/A的1個進程sfewfesfs cpu 300%。路由器被網絡阻塞啦。 因而百度這個病毒：都說該病毒很變態。第1次中linux病毒，幸虧是內網，感覺比較爽。（總結網絡內容，引以為戒）

1、病毒現象

http://www.vxbq.cn/server/不停向外網發送數據包，占網絡帶寬，乃至致使路由器頻沉重啟。

1) 通過top 或ps -ef 發現名為sfewfesfs的進程還有.sshddXXXXXXXXXXX（1串隨機數字）的進程。/etc/下能看到名為sfewfesfs，nhgbhhj等多個奇怪名字的文件。重啟后1插網線立即開始履行

2）通過sar -n DEV 就能夠看到往外發包的情況。

3）netstat -natlp 可以看到使用哪些端口

2、分析可能緣由

曾1度懷疑是安裝u盤的問題，安裝盤是u盤制作的系統安裝引導盤，裝入系統之前是格式化了。看了網上的資料，應當不是，U盤的問題。

應當開放了http://www.vxbq.cn/server/的ssh的22端口，并且開放ssh的遠程root登陸。這個http://www.vxbq.cn/server/又可以通過路由器代理進來，并且登陸密碼也不是那末復雜。可能被黑了。

22端口的root權限還是不要開了，no　zuo　no　die，頭1次經歷linux中毒曾1度以為是很安全的操作系統。

3、解決辦法

1）先看看被攻擊者修改過的：/etc/rc.local文件：

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

這是修改過的內容。
這里可以看到，他啟動1系列的進程，并且最后還把防火墻給你關掉了。
那現在好辦了。先找到以上對應的所有文件全部刪除。

2）刪除病毒文件sfewfesfs

進到/etc/ 下面找到與進程對應的文件名 刪掉。

sudo chattr -i /etc/sfewfesfs*  

sudo rm -rf /etc/sfewfesfs*

3） 刪除.SSH2和.SSHH2

這個時候還是不行的，由于這程序啟動后，會衍生出很多的進程。這個時候，找到/etc/下的.SSH2和.SSHH2刪掉。以后找到/tmp/下面所有以.SSH開始的文件，全部刪掉。

用ls -al看到.SSH2隱藏文件，刪除

rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;

/etc和/tmp可能有.sshdd1401029348隱藏文件 用ls -al看到，刪除
sudo rm -rf /tmp/.sshdd140*

4）刪除計劃任務：

到/var/spool/cron/下面把root 和root.1刪掉。

sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1

這個時候，病毒程序基本清楚完全了。

5）22端口的root權限還是不要開了：

修改外網映照22端口到XXXX
修改root密碼
passwd

關閉root的22權限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no

5）重啟http://www.vxbq.cn/server/

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈