furkanturkyilma adlı üyeden alıntı: mesajı görüntüle
top -c den virüsün PID bulup,

kill -STOP PID yazarak önce virüsün çalışmasını durduruyoruz ama kapatmıyoruz.

Sonra /etc/crontab da ayarlı olan bir cron var o cronu siliyoruz.

Sonrasında cat /proc/PID/exe yazarakda virüsün gerçek ismini bulup siliyoruz, büyük ihtimalle /bin/ klasörü içinde oluyor.

Sonrasında sunucu şifresini daha zor bir şifre yapıp sunucuyu yeniden başlatıyoruz. Sorun çözümlenmiş oluyor.
Ahhh keşke o kadar basit olsa. Bu yöntem bu işlere yeni başlamış saldırganların kurduğu basit sistemleri devre dışı bırakır. Direk crontab içine bash ekliyor, rc.local e başlangıçta dosya ekliyor, /bin yada /usr/sbin üzerinden dosyayı otomatik çalıştırıyor falan. Bu en basit yol kolayca çözülebiliyor. Birde tüm sistem dosyalarına sızan, gizli cron çalıştıran, kernele kadar sızabilen saldırganlar var.

Size demekki bu kişiler denk gelmemiş henüz, bu kişiler denk geldiğinde elinizdeki yöntemin işe yaramadığını göreceksiniz tam temizledim derken zombi gibi tekrar ortaya çıkacaktır.