记录一次清除Linuxsysupdate, networkservice进程病毒的经历

找到公司的一台淘汰的服务器上想搭建个测试环境，连上服务器之后，发现命令行十分的卡，虽说淘汰电脑但是一直未使用任何业务，网络处于联通状态，于是采用top命令看看cpu占用率

通过进程发现2个疑似系统进程：

sysupdate和networkservice

维护开始：

1.使用top已经知道了进程号，使用命令ls -l proc/{进程号}/exe

2.删除定时任务：rm /var/spool/cron/root 或crontab -r

3.杀掉进程 删除文件

首先杀进程，kill -9 {进程号}，然后删除文件

直接删除sysupdate你会发现无法删除，因为一般病毒会使用chattr +i命令，我们使用chattr -i sysupdate，然后再 rm -f sysupdate 即可正常删除。然后继续删除networkservice、sysguard、update.sh、config.json。

4./root/.ssh/authorized_keys 删除或修复

PS.其他如果可能出现的情况：

如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

1.修复SELinux

病毒脚本首先就会尝试关闭SELinux子系统，我们可以使用getenforce命令查看SELinux状态。

如果你想要重新打开，可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing，然后重新启动服务器。

wget命令和curl命令会被改为wge和cur，这样用着很变扭，改回来

mv /bin/wge /bin/wget

mv /bin/cur /bin/curl

mv /usr/bin/wge /usr/bin/wget

mv /usr/bin/cur /usr/bin/curl

2.恢复防火墙配置

病毒脚本修改的iptables配置的语句为

iptables -F

iptables -X

iptables -A OUTPUT -p tcp --dport 3333 -j DROP

iptables -A OUTPUT -p tcp --dport 5555 -j DROP

iptables -A OUTPUT -p tcp --dport 7777 -j DROP

iptables -A OUTPUT -p tcp --dport 9999 -j DROP

iptables -I INPUT -s 43.245.222.57 -j DROP

service iptables reload

如果你的iptables策略确定被清除并且修改了，那直接清空并重新配置即可。

学习一下  

积极学习

问题处理的流程写得挺好的，对主机卡顿时，比较直观的能看到现象。还可以进一步分析有无异常外连，重启后是否还会存在问题等。感谢分享

写的非常不错，学习了清除Linuxsysupdate, networkservice进程病毒，对清除其他linux病毒有指导意义

感谢分享呢

干货满满，感谢楼主的分享！

感谢楼主的精彩分享，有助工作。

值得学习，感谢分享。