linux可疑程序追踪

今天的主角是旁边的服务器，学姐的Fedora。发生的情况和我的那台ubuntu类似。（看来是一起被黑了）

连接虽挡，进程犹在

其实昨天已经发现学姐的系统出问题了，采取的措施和我那台一样，iptables直接DROP和可疑IP的连接。

今天学姐说，又出现了大流量的上行，而且似乎是通过smb（一个传输工具，可以不改变权限），她担心项目代码泄漏。我过去看了下iptables，发现那条规则没了，于是就有了今天的另一个关于iptables的博客。

netstat时发现，还是能看到SYN_SENT的标志。反复netstat，可以发现这个连接没成功的话，过一段时间会消亡，然后又启动。

外部入侵？还是内有奸细

分析如果是那边连接过来，应该根本看不到这条记录，于是我怀疑是本地程序尝试连接可疑IP，也就是“被动攻击”。netstat可以看到进程的pid，然后到/proc/相应pid目录下用ls 可以看到pid执行的程序是什么。明天上图

查到的执行程序在/usr/bin下。因为这个入侵事件的时间应该是最近，所以用

ls -l |grep Aug

过滤出8月份的修改记录，然后发现了好多14年之前的文件，这些不会有问题。当然也有几个最近的大小为0的，名字乱七八糟，一看就知道不是系统文件，明天上图。

删除文件，却死而复生

大小为0的没什么异常，删掉之后就没了。关键就是修改日期是前天或大前天的几个文件，其中一个是可疑连接启动的程序。

root权限下

rm -f 文件名 [文件名]......

删除那几个文件。删掉之后，ls再看，又出现了个一样大小的乱名文件！修改日期就是刚刚！

netstat查看连接，可疑连接的pid对应的程序就是这个刚刚生成的文件，至此我已毛骨悚然。

也就是说，一个有个进程在盯着这个文件，保证它存在于这个目录下，而且在生成的同时运行了它，如果不干掉这个进程，我们永无安宁，但是我们上哪儿去找这个进程呢。

兵临城下，背水一战

windows平台下，杀毒软件成熟，不需要我们担心。linux这里完全就是摸瞎。

群友分析

自己看可疑进程

linux系统进程这块，我不是很熟，指不定kill一个进程就把系统弄崩，而且进程数量庞大，虽然一定可以找到，但是要多久就不好说了。

代码有可能嵌到节区里了

就像win平台下的PE病毒，病毒要执行的代码嵌入到可执行代码区。病毒课的课外作业我做的就是PE病毒，所以知道这个概念。但是并没有什么用，我没法手动取出被修改的节，单单它在哪个文件我都不知道。

等死or重装

这个群友给的真是下下策，我所知道的我用的这台ubuntu，光搭编译ceph的环境都不知道能不能搞定，学姐这台Fedora就更不清楚了。不过这个法子够彻底，无后患。

其他几个连接到这台机器的服务器，也可能被感染了，重装估计也避免不了了。

救命稻草，还是痴人说梦

就在我折腾这个Fedora的时候，轰的一声，周围全黑，停电了。回到实验室，学长学姐闹腾着，说东边全停了。有人还叫着“我的报告啊！”，想想自己设置的wps1分钟保存一次，真是庆幸。

回到寝室后，和一个经常用Debian的L同学聊了下，说可以算下可疑文件的MD5然后到网上查查，如果是比较严重的问题，应该有人已经遇到过了，否则就重装吧。

回到自己寝室，和室友聊着聊着，脑海里闪过ubuntu安装盘的试用界面，当时我是用这个搞定“重装win7，grub消失”这个问题的。跑到L那儿，问了下，他说试用启动的话，监视进程应该不会启动，可疑文件应该就不会重生了，不过如果这个监视进程不是这个可疑文件自己释放的，这个法子就没意义了。

明早我去实验室试试，祝我好运吧。