• linux病毒sfewfesfs

• 
  

• 由于昨天在內(nèi)網(wǎng)服務器A不小心rm -fr / ，導致服務器A完蛋，重裝系統(tǒng)后，不知道啥原因，局域網(wǎng)癱瘓不能上網(wǎng)，最后發(fā)現(xiàn)內(nèi)網(wǎng)服務器A的一個進程sfewfesfs cpu 300%。路由器被網(wǎng)絡阻塞啦。 于是百度這個病毒：都說該病毒很變態(tài)。第一次中l(wèi)inux病毒，幸虧是內(nèi)網(wǎng)，感覺比較爽。（總結(jié)網(wǎng)絡內(nèi)容，引以為戒）

  1、病毒現(xiàn)象

  服務器不停向外網(wǎng)發(fā)送數(shù)據(jù)包，占網(wǎng)絡帶寬，甚至導致路由器頻繁重啟。

  1) 通過top 或者ps -ef 發(fā)現(xiàn)名為sfewfesfs的進程還有.sshddXXXXXXXXXXX（一串隨機數(shù)字）的進程。/etc/下能看到名為sfewfesfs，nhgbhhj等多個奇怪名字的文件。重啟后一插網(wǎng)線立即開始執(zhí)行

  2）通過sar -n DEV 就可以看到往外發(fā)包的情況。

  3）netstat -natlp 可以看到使用哪些端口

  2、分析可能原因

  曾一度懷疑是安裝u盤的問題，安裝盤是u盤制作的系統(tǒng)安裝引導盤，裝入系統(tǒng)之前是格式化了。看了網(wǎng)上的資料，應該不是，U盤的問題。

  應該開放了服務器的ssh的22端口，并且開放ssh的遠程root登陸。這個服務器又可以通過路由器代理進來，并且登陸密碼也不是那么復雜。可能被黑了。

  22端口的root權(quán)限還是不要開了，no　zuo　no　die，頭一次經(jīng)歷linux中毒曾一度以為是很安全的操作系統(tǒng)。

  3、解決辦法

  1）先看看被***者修改過的：/etc/rc.local文件：

  cd /tmp;./sfewfesfs
  cd /tmp;./gfhjrtfyhuf
  cd /tmp;./rewgtf3er4t
  cd /tmp;./fdsfsfvff
  cd /tmp;./smarvtd
  cd /tmp;./whitptabil
  cd /tmp;./gdmorpen
  cd /etc;./sfewfesfs
  cd /etc;./gfhjrtfyhuf
  cd /etc;./rewgtf3er4t
  cd /etc;./fdsfsfvff
  cd /etc;./smarvtd
  cd /etc;./whitptabil
  cd /etc;./gdmorpen
  cd /tmp;./sfewfesfs
  cd /tmp;./gfhjrtfyhuf
  cd /tmp;./rewgtf3er4t
  cd /tmp;./fdsfsfvff
  cd /tmp;./smarvtd
  cd /tmp;./whitptabil
  cd /tmp;./gdmorpen
  cd /etc;./sfewfesfs
  cd /etc;./gfhjrtfyhuf
  cd /etc;./rewgtf3er4t
  cd /etc;./fdsfsfvff
  cd /etc;./smarvtd
  cd /etc;./whitptabil
  cd /etc;./gdmorpen

  這是修改過的內(nèi)容。
  這里可以看到，他啟動一系列的進程，并且最后還把防火墻給你關掉了。
  那現(xiàn)在好辦了。先找到以上對應的所有文件全部刪除。

  2）刪除病毒文件sfewfesfs

  進到/etc/ 下面找到與進程對應的文件名 刪掉。
  
  sudo chattr -i /etc/sfewfesfs*

  sudo rm -rf /etc/sfewfesfs*

  3） 刪除.SSH2和.SSHH2

  這個時候還是不行的，因為這程序啟動后，會衍生出很多的進程。這個時候，找到/etc/下的.SSH2和.SSHH2刪掉。之后找到/tmp/下面所有以.SSH開始的文件，全部刪掉。

  用ls -al看到.SSH2隱藏文件，刪除

  rm -rf/etc/ SSH2;
  rm -rf/etc/ .SSHH2;
  rm -rf/tmp/.SSH*;

  /etc和/tmp可能有.sshdd1401029348隱藏文件 用ls -al看到，刪除
  sudo rm -rf /tmp/.sshdd140*

  4）刪除計劃任務：

  到/var/spool/cron/下面把root 和root.1刪掉。

  sudo rm -rf /var/spool/cron/root
  sudo rm -rf /var/spool/cron/root.1

  這個時候，病毒程序基本清楚完整了。

  5）22端口的root權(quán)限還是不要開了：

  修改外網(wǎng)映射22端口到XXXX
  修改root密碼
  passwd
  
  關閉root的22權(quán)限
  在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
  PermitRootLogin no

  5）重啟服務器

轉(zhuǎn)載于:https://blog.51cto.com/sageliu/1583972

總結(jié)

以上是生活随笔為你收集整理的linux病毒sfewfesfs的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。