1.执行下面脚本。
service crond stop
busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libcset.so
chattr -i /etc/ld.so.preload
busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libcset.so
# 清理异常进程
busybox ps -ef kthrotlds
[root@ecs-6149 test]# busybox ps -ef | grep kthrotlds
100855root 2:52 [kthrotlds]
100857root 2:52 [kthrotlds]
108471root 0:00 grep --color=auto kthrotlds
[root@ecs-6149 test]# busybox kill -9 100855 100857
busybox rm -f /tmp/kthrotlds
busybox rm -f /etc/cron.d/tomcat
chattr -i /etc/cron.d/root
busybox rm -f /etc/cron.d/root
chattr -i /var/spool/cron/root
busybox rm -f /var/spool/cron/root
chattr -i /var/spool/cron/crontabs/root
busybox rm -f /var/spool/cron/crontabs/root
busybox rm -f /etc/rc.d/init.d/kthrotlds
busybox rm -f /usr/sbin/kthrotlds
busybox rm -f /etc/init.d/netdns
ldconfig
# 再次清理异常进程
busybox ps -ef kthrotlds
# 清理开机启动项
chkconfig netdns off
chkconfig --del netdns
service crond start
2.检查开机项是否有以下内容:
/etc# ls -ltr /etc/rc2.d/
lrwxrwxrwx 1 root root 20 Apr 2 18:25 S02kworkers25 -> ../init.d/kworkers25
lrwxrwxrwx 1 root root 20 Apr 2 18:25 S02boot.crypt -> ../init.d/boot.crypt
删掉这两个开机项
3. 在/etc/init.d/找到这两个文件
/etc/init.d# ls -ltr
-rwxr-xr-x 1 root root 3856 Apr 4 17:53 kworkers25
-rwxrwxrwx 1 root root 1096 Apr 4 17:57 boot.crypt
看一下这两个文件内容,分别复制了两个文件
cp /lib64/libg.a /etc/init.d/kworkers25
cp /lib64/liblzma.a /usr/sbin/rpciods\$numb
cp /lib64/libaio.a /usr/sbin/config.json
所以删掉/lib64/libg.a、/lib64/liblzma.a、/lib64/libaio.a三个文件
4. 最后杀掉进程
boot.crypt、kworkers25、rpciods*
5. 删掉/root/.ssh下面的文件
6.删掉下面目录的文件
/etc/cron.daily
/var/spool/cron/
7. 改root、redis密码