首页 > 代码库 > 一次linux删除文件后又自动生成就是中木马的情况的解决过程
一次linux删除文件后又自动生成就是中木马的情况的解决过程
公司的内网某台linux服务器流量莫名其妙的剧增,用iftop查看有连接外网的情况。针对这种情况一般重点查看netstat连接的外网ip和端口。
用lsof -p pid可以查看到具体是那些进程,哪些文件。经查勘发现/root下有相关的配置conf.n hhe两个可疑文件,rm -rf后不到一分钟就自动生成了,由此推断是某个母进程产生的这些文件。所以找到母进程就是找到罪魁祸首。
查杀病毒最好断掉外网访问,还好是内网服务器,可以通过内网访问。断了内网,病毒就失去外联的能力,杀掉它就容易的多。怎么找到呢,找了半天也没有看到蛛丝马迹,没办法只有ps axu一个个排查,方法是查看可以的用户和和系统相似而又不是的冒牌货,果然,看到了如下进程可疑。
看不到图片就是/usr/bin/.sshd
于是我杀掉所有.sshd相关的进程,然后直接删掉.sshd这个可执行文件。然后才删掉了文章开头提到的自动复活的文件。
总结一下,遇到这种问题,如果不是太严重,尽量不要重装系统,一般就是先断外网,然后利用iftop,ps,netstat,chattr,lsof,pstree这些工具顺藤摸瓜,一般都能找到元凶。但是如果遇到诸如此类的问题,
/boot/efi/EFI/redhat/grub.efi: Heuristics.Broken.Executable FOUND
个人觉得就要重装系统了。
这篇文章只是解决问题的一种思路,仅仅作为参考,并非绝对。
一次linux删除文件后又自动生成就是中木马的情况的解决过程
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。