linux随机10字母病毒

查看/proc/_pid/cmdline里面全是伪造信息，随机产生ps、su、top等命令；

由于病毒产生大量的流量，先使用iptables封掉出口IP，当病毒检测流量发布出去后会进入监听状态，监听端口；

想到病毒一般都会有检测机制，所以查找其根文件，crontab、/etc/rc.d/init.d、/etc/rc3.d/、/etc/rc.d/rc.local、systemd，查看这些相关文件，果然有收获：

查看/etc/cron.hourly里面的gcc文件：

到/lib目录下，查看病毒文件，发现是可执行的文件，进行如下操作：

a)    file  libudev.so查看文件内容

b)    rm –rf /lib/libudev.so &chattr +i /lib；限制/lib目录写入文件

c)    然后回到/etc/cron.hourly目录下，删除gcc4.sh文件；

lsof  -R|grep “/usr/bin”查看进程，发现随机产生的命令其ppid（夫进程）为1，则跟/etc/init.d某个服务有关，查看：

到/etc/init.d下查看，有病毒文件：

查看病毒文件：

所以病毒会在/bin下产生，遂进行删除，删除后发现会重新生成，决定先锁住/bin目录（我之前删了好久，就是忘了这一步，不然可以省掉很多时间！哭！）：

a)    rm –rf /usr/bin/asdjhrsdrf  & chattr +i /usr/bin

此时病毒如果还是在的，top看一下，然后删除主进程，删除病毒产生的相关文件就ok了！