环境说明：

1.linux 版本信息

Linux version 2.6.18-308.el5PAE (mockbuild@x86-010.build.bos.redhat.com) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-50)) #1 SMP Fri Jan 27 17:40:09 EST 2012

2.两台服务器安装有双机软件 ，linux版本相同

现象：

   用户反映双机软件有问题了，远程连过去奇慢无比，后来他们机房的人员发现这两台服务器异常，拨掉其中一台的网线后，网络恢复正常。

具体检查过程如下：

  1.top命令

   发现了如下所示的异常进程

   PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                        
   3681 root      18   0  102m 1072  512 S 99.2  0.0 140:04.00 tufei34  

2. 下载此文件上传到病毒分析网站进行分析 确认为病毒

  http://r.virscan.org/report/5888f36785a5cc5122d5b1083e55f7df

3.ps 命令 查看一下相关的进程 （pstree -p 进程号 查看进程树信息）

  ps -ef | grep tufei34 

4.查看该进程下打开了哪些文件

lsof -p 3618

COMMAND   PID USER   FD   TYPE  DEVICE SIZE/OFF     NODE NAME
tufei34 3618 root  cwd    DIR   104,2     4096 21594182 /etc/rc.d/init.d
tufei34 3618 root  rtd    DIR   104,2     4096        2 /
tufei34 3618 root  txt    REG   104,2  1223123 21594129 /etc/tufei34

5.proc  进入相应的文件夹必看的几个文件

 cmdline、environ、exe

经过以上的分析大概知道了病毒的工作原理，进行了简单的处理

应该属于ssh入侵，记录相应的账号密码通过邮件发送 /var/spool/mail/ 下有相应的文件里面记录全是账号密码 ，进程启动时，通过SSH连接拷贝执行病毒文件

并长期占有CPU，带宽

1.init.d文件夹

/etc/rc.d/init.d/DbSecuritySpt 中有一运行病毒的指令屏蔽掉

#!/bin/bash
#/etc/tufei34

2.查找病毒执行文件删除

 whereis tufei34 或  find / -type f -name tufei34

3. 结束相关进程

 killall -g tufei34

4.更改ssh 连接端口 重启sshd服务

 vi /etc/ssh/sshd_config

5.两台服务都进行了相关的处理

  双机软件投入服务，切换双机并重启备机，测试正常，到目前为止一切正常

与linux 病毒的一次接触