案例描述
早上接到客户的消息，说阿里云通知他中毒了，让我们检查一下。

这是我最讨厌这些云服务商的地方，你都知道中毒了，为什么不帮忙解？

确认chattr 是否被删除, 如果被删除可以使用以下指令恢复

# yum install e2fsprogs

确保服务正常

# chkconfig --list|grep :on

# chkconfig --del 异常服务名

这客户的机器非常热闹、、、

检查这里是否异常

# cat /etc/rc.local

察看排程是否正常

如果有下图 (gcc4.sh) 则注释掉, 那是病毒进程

# vi /etc/crontab

# vi /etc/cron.hourly/gcc4.sh

# rm -rf /etc/cron.hourly/gcc4.sh

安装扫毒软件

# yum install -y epel-release

# yum install -y clamav

更新病毒库

# freshclam

扫描

# clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log

# clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log

# clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log

扫描并杀毒

# clamscan -r  --remove  /usr/bin

# clamscan -r --remove  /usr/local

查看日志

# cat /root/*clamav.log |grep FOUND

彻底破坏病毒文件

# echo slkfhrl,kfhs > /lib/libudev4.so

# rm -f /lib/libudev4.so

# touch /lib/libudev4.so

# chattr +i /lib/libudev4.so