linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序
2015-10-20 10:29
218 查看
公司一套hadoop集群,装的CDH CM,被挂马了,动不动就特别卡,流量占用特别高。当初为了方便,裸在公网上了。而且密码还简单,这下是血的教训了。虽然上面已经同意了全部重装了,但是本屌有点不甘心,想了解该病毒的老窝在哪。下面会一些信息,分享给大家。
问题现象,linux服务网络特别卡,几乎无法工作。
特征
CPU爆满,并发现可疑程序。但是奇怪的是,CPU占用满了,却没在top命令里 htop命令里看到CPU占用高的进程,难道是隐藏了?
发现可疑路径
在TMP目录发现可疑文件
在网上找了些,这里说一下,网上流转的几篇文章,总共就2篇,一个说是删除这些文件,并且修改目录权限,然后再重新安装一些包,升级一些包。
我首先尝试了删除的这些操作。
删除文件,删除进程
然后执行一下ps,他又出现了,我也是艹了个DJ的。
然后我并找到ps命令,找了几台正常服务器来进行对比
使用stat命令来文件的操作时间。
想了想,一个正常的文件为什么最后一次的修改时间就是现在呢?怀疑可能是该文件被个程序替换了。
通过netstat命令,发现这可疑进程与一个不认识的IP有连接
IP地址为 110.80.141.212 端口25000
尝试把那个PS命令删除掉,从别的地方拷贝一个过来。明显的发现ps命令的大小不对。看来是这个文件里面可定有鬼。
操作完后,重启操作系统之前,我自己建立了一个这样的目录,设置一个极低的权限。看看重启后是什么效果
结果,重启后还是一样,暂时是没办法了。看了下 /bin 目录,很明显的发现ps命令netstat命令的大小有点不正常。看来是我一执行了ps、netstat命令就相当于是帮他启动了木马程序了。而且我删除了还没有,看来是他还有个守护进程,NND。
然后网上的第二篇文章说的是,找到在卡的时候,资源占用高的进程,然后再顺藤摸瓜。先写到这里,我去研究研究怎么顺藤摸瓜。
如果有碰到同样问题的,可以联系我。
问题现象,linux服务网络特别卡,几乎无法工作。
特征
CPU爆满,并发现可疑程序。但是奇怪的是,CPU占用满了,却没在top命令里 htop命令里看到CPU占用高的进程,难道是隐藏了?
发现可疑路径
在TMP目录发现可疑文件
在网上找了些,这里说一下,网上流转的几篇文章,总共就2篇,一个说是删除这些文件,并且修改目录权限,然后再重新安装一些包,升级一些包。
我首先尝试了删除的这些操作。
删除文件,删除进程
然后执行一下ps,他又出现了,我也是艹了个DJ的。
然后我并找到ps命令,找了几台正常服务器来进行对比
使用stat命令来文件的操作时间。
想了想,一个正常的文件为什么最后一次的修改时间就是现在呢?怀疑可能是该文件被个程序替换了。
通过netstat命令,发现这可疑进程与一个不认识的IP有连接
IP地址为 110.80.141.212 端口25000
尝试把那个PS命令删除掉,从别的地方拷贝一个过来。明显的发现ps命令的大小不对。看来是这个文件里面可定有鬼。
操作完后,重启操作系统之前,我自己建立了一个这样的目录,设置一个极低的权限。看看重启后是什么效果
结果,重启后还是一样,暂时是没办法了。看了下 /bin 目录,很明显的发现ps命令netstat命令的大小有点不正常。看来是我一执行了ps、netstat命令就相当于是帮他启动了木马程序了。而且我删除了还没有,看来是他还有个守护进程,NND。
然后网上的第二篇文章说的是,找到在卡的时候,资源占用高的进程,然后再顺藤摸瓜。先写到这里,我去研究研究怎么顺藤摸瓜。
如果有碰到同样问题的,可以联系我。
相关文章推荐
- Linux 通用中断子系统
- Linux IPC实践(3) --具名FIFO
- Linux下ls命令实现
- Linux IPC实践(1) --匿名PIPE
- 64位arm_Linux操作系统驱动兼容性问题
- linux下core文件设置, Core Dump
- Linux 反向删除文件(排除特定文件)
- Linux内核编译和安装
- linux远程传输文件scp命令
- 使用pyinstaller打包python源代码,成为linux/windows下可执行文件
- Linux下递归读取文件数量
- 15个Linux Yum命令实例--安装/卸载/更新
- CentOS 6.5使用:[3]使用xftp传递文件
- linux项目发布常见命令
- How to install g++ 4.7.2 & c++11 on CentOS 5.x
- 学习日志---linux块组深入,链接,压缩和打包
- linux 内核链表的应用
- Linux启动ssh服务
- linux,python 常用的处理log的命令
- 系统级性能分析工具 — Perf