1、病毒现象

1. 服务器存在卡顿和外联异常IP等现象。
2. 存在进程名为10位随机字符的进程。
3. 对外有DDOS攻击行为

2、病毒处置

1. 停止定时任务：对于定时任务，删除或者注释都会被删掉重写，可以设置权限，使crontab文件无法写入：chattr +i /etc/crontab。对于木马文件，删除会重建，可以修改权限，使之无法运行，但此刻千万不要删掉(因此删除后，木马又会自动生成该文件)。降权操作：chmod 600 /lib/libudev.so chmod 600 /lib/libudev.so.6
2. chmod 600 /user/bin/[10位随机字符]，chmod 600 /tmp/[10位随机字符]。
3. 删除：/etc/rc.d/[10位随机字符]、/etc/rc.d/K90[10位随机字符]、/etc/init.d/[10位随机字符]。
4. 手动kill全部木马进程。
5. rm -f /usr/bin/[10位随机字符]、/tmp/[10位随机字符]、/lib/libudev.so、libudev.so.6、/etc/cron.hourly/gcc.sh、/etc/crontab/gcc.sh。
6. 重启服务器（客户进行重启操作）测试木马是否清理完成。

3、病毒详情

https://blog.csdn.net/tiezhong2004/article/details/80963575