先讲个段子:
一个黑客给了你一把钥匙,告诉你,拿它打开门,就可以进去自己家了,当你进去之后,发现总有些奇怪,但就是说不出来。当你遇到这种情况,请冷静下来,因为你进入的并不是你的家,而是黑客用假象给你封装了一个虚拟的家。
有人会说,前面已经清除过病毒了,为什么还有一篇,有什么可写的,因为年轻~,因为对病毒的程序认知不足,最终还是有漏网之鱼:总结就是在/etc/init.d、/usr/bin、/etc/cron.d/ 目录下隐藏着多种木马启动程序,最终都以busybox之名启动,以busybox为关键字,反向进操作系统目录进行寻找。取其中的一段启动程序内容看下:
最终将病毒程序的位置、权限、名称总结成了一个表格,给需要帮助的人看:
| 名称 | 权限 | 位置 | 别名 |
| crondr | ----ia---------- | /usr/bin | busybox |
| initr | |||
| sysdr | |||
| /etc/rc.d/init.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.d/ /etc/rc.d/rc.local 以上目录存放的可疑程序 | |||
经过对上述目录下的木马文件进行清除后,cpu负载最终正常了~
感谢腾讯许老师的鼎力支持~
