標籤:linux 無法刪除 木馬
公司的內網某台linux伺服器流量莫名其妙的劇增,用iftop查看有串連外網的情況。針對這種情況一般重點查看netstat串連的外網ip和連接埠。
用lsof -p pid可以查看到具體是那些進程,哪些檔案。經查勘發現/root下有相關的配置conf.n hhe兩個可疑檔案,rm -rf後不到一分鐘就自動產生了,由此推斷是某個母進程產生的這些檔案。所以找到母進程就是找到罪魁禍首。
查殺病毒最好斷掉外網訪問,還好是內網伺服器,可以通過內網訪問。斷了內網,病毒就失去外聯的能力,殺掉它就容易的多。怎麼找到呢,找了半天也沒有看到蛛絲馬跡,沒辦法只有ps axu一個個排查,方法是查看可以的使用者和和系統相似而又不是的冒牌貨,果然,看到了如下進程可疑。
看不到圖片就是/usr/bin/.sshd
於是我殺掉所有.sshd相關的進程,然後直接刪掉.sshd這個可執行檔。然後才刪掉了文章開頭提到的自動複活的檔案。
總結一下,遇到這種問題,如果不是太嚴重,盡量不要重裝系統,一般就是先斷外網,然後利用iftop,ps,netstat,chattr,lsof,pstree這些工具順藤摸瓜,一般都能找到元兇。但是如果遇到諸如此類的問題,
/boot/efi/EFI/redhat/grub.efi: Heuristics.Broken.Executable FOUND
個人覺得就要重裝系統了。
這篇文章只是解決問題的一種思路,僅僅作為參考,並非絕對。
一次linux刪除檔案後又自動產生就是中木馬的情況的解決過程
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
