记一次清除billgates（蠕虫病毒）的记录

      身为运维小白新手的我在公司某公司防火墙发现内网的服务器(redhat )中了billgates病毒疯狂大量发包（平均每5分钟发包）.

用linux系统中iptables防火墙，设置限制外发包量处理。

命令为：iptables -A OUTPUT -o eth0 -m limit --limit1024/sec -j ACCEPTiptables -P OUTPUT DROP

      察看启动日志发现非root用户在\etc\init.d自启动目录下创建2个文件dbsecurityspt 和 selinux:非正常程序

察看可疑程序批处理的目录及路径

      通过ps -ef 找到进程pid，然后利用 lsof -p 查看进程打开的所有文件信息，并尝试杀掉进程，并删除这些打开的文件，必须要删除.sshd主程序和getty克隆副程序文件删除后，否则相关联文件还会重新生成。

然后分别清除以下生成的木马病毒文件清除受感染病毒文件：

·rm -rfi/tmp/moni.lod /tmp/gates.lod · rm -rfi /etc/init.d/selinux/etc/init.d/DbSecuritySpt·rm -rfi /etc/rc1.d/S97DbSecuritySpt/etc/rc1.d/S99selinux· rm -rfi /etc/rc2.d/S97DbSecuritySpt/etc/rc2.d/S99selinux· rm -rfi /etc/rc3.d/S97DbSecuritySpt/etc/rc3.d/S99selinux· rm -rfi /etc/rc4.d/S97DbSecuritySpt/etc/rc4.d/S99selinux· rm -rfi /etc/rc5.d/S97DbSecuritySpt/etc/rc5.d/S99selinux· rm -rfi /usr/bin/bsd-port/ /tmp/pythompy

      重启服务器后，用某公司防火墙及zabbix 察看该服务器 流量等状态正常。

      billgates僵尸网络木马是一个感染性及隐蔽性极强的病毒，它会创建进程来进行C&C通信、病毒监控等操作，、同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。和rootkill很相似主要利用服务器某个程序的后门植入服务器然当作肉鸡。