1.電腦幾乎不能正常運作，出現奇怪的進程，cpu占用率好幾百，kill掉這個進程還會有其他變態進程起來，并且/etc/init.d/目錄下都會出現奇怪的腳本。  2.cron日志出現了一個可疑的定時任務 ``` cd /var/log/ more cron-20181105 Oct 28 04:33:03 localhost CROND[25887]: (root) CMD (/etc/cron.hourly/gcc.sh) Oct 28 04:36:03 localhost CROND[27389]: (root) CMD (/etc/cron.hourly/gcc.sh) ``` ## 1. 使用clamav掃描危險文件 ## 2. /etc/crontab有一條定時任務、 /3 * * * * root /etc/cron.hourly/gcc.sh ``` cat /etc/cron.hourly/gcc.sh #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in cat `/proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done cp /lib/libudev.so /lib/libudev.so.6 /lib/libudev.so.6 ``` 病源就是/lib/libudev.so.6 1. 首先刪除定時任務 rm -f /etc/cron.hourly/gcc.sh 2. 鎖定/etc/crontab不能被修改，以免添加定時任務 chattr +i /etc/crontab 3.停止進程，不能kill -9,否則就會有其他的變態進程起來 kill -STOP 825 6. 刪除 /etc/init.d 內的文件。 ``` # find /etc -name '*bnajbfihdorn*' | xargs rm -f # find /etc -name '*bnajbfihdorn*' | xargs rm -f ``` 7. 刪除 /usr/bin 下的文件。 ``` # rm -f /usr/bin/bnajbfihdorn # rm -f /usr/bin/bnajbfihdorn ``` 8. 查看 /usr/bin 最近變動的文件，如果是病毒也一起刪除，其他可疑的其他可疑目錄也一樣。 ``` # ls -lt /usr/bin | head # ls -lt /usr/bin | head ``` 9. 現在殺掉病毒進程，就不會重新生成了。 ``` # pkill bnajbfihdorn # pkill bnajbfihdorn ``` 10. 刪除病毒 ``` # rm -f /lib/libudev.so # rm -f /lib/libudev.so ```