1.电脑几乎不能正常运作，出现奇怪的进程，cpu占用率好几百，kill掉这个进程还会有其他变态进程起来，并且/etc/init.d/目录下都会出现奇怪的脚本。  2.cron日志出现了一个可疑的定时任务 ``` cd /var/log/ more cron-20181105 Oct 28 04:33:03 localhost CROND[25887]: (root) CMD (/etc/cron.hourly/gcc.sh) Oct 28 04:36:03 localhost CROND[27389]: (root) CMD (/etc/cron.hourly/gcc.sh) ``` ## 1. 使用clamav扫描危险文件 ## 2. /etc/crontab有一条定时任务、 /3 * * * * root /etc/cron.hourly/gcc.sh ``` cat /etc/cron.hourly/gcc.sh #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in cat `/proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done cp /lib/libudev.so /lib/libudev.so.6 /lib/libudev.so.6 ``` 病源就是/lib/libudev.so.6 1. 首先删除定时任务 rm -f /etc/cron.hourly/gcc.sh 2. 锁定/etc/crontab不能被修改，以免添加定时任务 chattr +i /etc/crontab 3.停止进程，不能kill -9,否则就会有其他的变态进程起来 kill -STOP 825 6. 删除 /etc/init.d 内的文件。 ``` # find /etc -name '*bnajbfihdorn*' | xargs rm -f # find /etc -name '*bnajbfihdorn*' | xargs rm -f ``` 7. 删除 /usr/bin 下的文件。 ``` # rm -f /usr/bin/bnajbfihdorn # rm -f /usr/bin/bnajbfihdorn ``` 8. 查看 /usr/bin 最近变动的文件，如果是病毒也一起删除，其他可疑的其他可疑目录也一样。 ``` # ls -lt /usr/bin | head # ls -lt /usr/bin | head ``` 9. 现在杀掉病毒进程，就不会重新生成了。 ``` # pkill bnajbfihdorn # pkill bnajbfihdorn ``` 10. 删除病毒 ``` # rm -f /lib/libudev.so # rm -f /lib/libudev.so ```