服务器中马了。外网ip不能连,最后用局域网ip连上去的。
有个pluto的进程往外发巨多量的udp包。
查了下,还是不知道pluto是干啥的。
find / -name pluto
查了下,找不到进程所在位置。。。。。
八成是个木马程序。
不幸中的万幸,没什么破坏性,不然数据没了那就崩溃了。
第一次,不知道该怎么办。。
只能先kill 掉。
幻想这样木马就被干掉了。
to young to simple...
第二天,又出问题了。
这次不打算直接kill了。
ll /proc/{pid}/
发现exe居然没有进程路径。
cat /proc/{pid}/environ
发现了一个奇怪的环境变量
=/usr/bin/cond
不知道是不是通过这个手段隐藏了进程的实际路径。
看来/usr/bin/cond 应该是木马程序。
rm -f /usr/bin/cond
没权限? what?
我他妈root啊。整个磁盘都能删掉啊,这他妈还是linux吗。
当时我的内心是崩溃的,并再一步确认,这个就是木马。
查了一下,可能是有隐藏属性-i
后来 lsattr /usr/bin/cond
没有 lsattr。
从另外一台机器上copy了一个。
果然如此。
lsattr /usr/bin/cond
----i--------e- /usr/bin/cond
用lsattr -R /
发现了好几个文件都被加了这个-i属性
应该都是有问题的。
全都删除了,用没问题的机器上的替换。(先copy过来)
如果没问题的机器上没有的直接删除。
重启。哈哈,希望不要再出问题(已经3天没发作了,但是不知道是杀干净了还是潜伏起来了)
实际的作战过程长达1周。查了很多很多资料。
希望能帮到下一个被坑的人吧。
************************
时隔多日,最后还是被击败了
前些日子又发现木马的出现
而且使用同样的方法无法清除
最终投降
初始化了系统盘,该装的都得重装了一次
经过此役,总算是学得一些小聪明
建了一个非root权限的账号
该隔离的隔离,该限制的限制
治木马不好治,还是防吧,简单些!
