Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

libudev.so病毒清理shell脚本

0
0

5分(1票)

这个病毒有人叫做”十字符病毒”,因为病毒会随机生成一个10字符进程,而该进程会占据几乎所有上行带宽,并且占据大量CPU资源。

这个(类?)病毒已经遇到好几次了,每一次都有点小不同,但唯一不变的估计就是这个实际的执行程序的名称――”libudev.so”,所以我就称之为”libudev.so”病毒。

第一次遇到这个病毒的时候,埋头处理大半天,一开始都是以为清理干净了,结果又复发。经过一步一步的试错,终于搞明白这病毒的自启与自保机制,一下就清理了。

这病毒的自保与自启机制不算高深,按照一定的操作顺序,以及手速足够快,几下就能清理,所以后来又遇到了几次,也没大在意。但这次再次遇到这个病毒,竟然又忘记处理步骤了。那么这次干脆写个shell,一劳永逸。

#病毒进程名 VIRUS_P=njafjgycsl #暂停病毒进程 kill -stop `pgrep $VIRUS_P` rm -f /usr/bin/$VIRUS_P #/etc/cron.hourly/gcc.sh find /etc/cron* -name "gcc.sh" -exec rm {} \; find /etc/init.d/ -name "*$VIRUS_P*" -exec rm {} \; find /etc/rc* -name "*$VIRUS_P*" -exec rm {} \; pkill $VIRUS_P rm -f /lib/libudev.so /lib/libudev.so.6

用法:通过top命令找到病毒的进程名,赋给变量”VIRUS_P“,然后执行这个shell就可以了。

病毒的自启和自保机制在脚本里有个大致的体现了,如果病毒有变,那就根据具体情况做些修改吧。


Viewing all articles
Browse latest Browse all 12749