阿里云上一台主机不幸中招被充当了肉鸡，不想重装，只能去手动查杀病毒，纪录了下相关步骤，供大家查看。

1、首先查看lsattr chattr ps netstat ss lsof ifconfig这些关键命令通过比较大小ls命令查看有没有被替换掉，如果被替换过就从其他系统中拷贝过来覆盖。
2、/etc/crontab 文件多了一行
*/3 * * * * /home/kill.sh
*/3 * * * * /home/gcc4.sh
查看里面的内容发现了libudev.so等文件，解决方法
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
3、可疑目录/etc/rc.d/init.d/selinux，/etc/rc.d/init.d/DbSecuritySpt，删掉并杀死进程。
cat /etc/rc.d/init.d/selinux
#!/bin/bash
/usr/bin/bsd-port/recei
解决方法
killall recei
rm -rf /usr/bin/bsd-port
cat /etc/rc.d/init.d/DbSecuritySpt
#!/bin/bash
/usr/local/bin/bobsn
解决方法
killall bobsn
rm -rf /usr/bin/bsd-port
4、删除其他可疑目录和关闭进程
rm -rf /usr/bin/dpkgd
rm -rf  /usr/bin/.sshd
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
5、删除木马开机启动
rm /etc/rc.d/rc1.d/S99selinux -rf
rm /etc/rc.d/rc2.d/S99selinux -rf
rm /etc/rc.d/rc3.d/S99selinux -rf
rm /etc/rc.d/rc4.d/S99selinux -rf
rm /etc/rc.d/rc5.d/S99selinux -rf
rm /etc/rc.d/rc1.d/S97DbSecuritySpt -rf
rm /etc/rc.d/rc2.d/S97DbSecuritySpt -rf
rm /etc/rc.d/rc3.d/S97DbSecuritySpt -rf
rm /etc/rc.d/rc4.d/S97DbSecuritySpt -rf
rm /etc/rc.d/rc5.d/S97DbSecuritySpt -rf
6、查看网络连接命令，kill掉可疑的连接
netstat -na|grep ESTABLISHED | awk '{print $5}' |awk -F ':' '{print $1}' | grep -v '127.0.0.1'
将ip放到网上批量查询可疑地址