linux服务器被挂马，ps命令netstat命令被挟持替换成其他程序

公司一套hadoop集群，装的CDH CM，被挂马了，动不动就特别卡，流量占用特别高。当初为了方便，裸在公网上了。而且密码还简单，这下是血的教训了。虽然上面已经同意了全部重装了，但是本屌有点不甘心，想了解该病毒的老窝在哪。下面会一些信息，分享给大家。

问题现象，linux服务网络特别卡，几乎无法工作。

特征

CPU爆满，并发现可疑程序。但是奇怪的是，CPU占用满了，却没在top命令里 htop命令里看到CPU占用高的进程，难道是隐藏了？



发现可疑路径



在TMP目录发现可疑文件



在网上找了些，这里说一下，网上流转的几篇文章，总共就2篇，一个说是删除这些文件，并且修改目录权限，然后再重新安装一些包，升级一些包。

我首先尝试了删除的这些操作。

删除文件，删除进程





然后执行一下ps，他又出现了，我也是艹了个DJ的。



然后我并找到ps命令，找了几台正常服务器来进行对比
使用stat命令来文件的操作时间。
想了想，一个正常的文件为什么最后一次的修改时间就是现在呢？怀疑可能是该文件被个程序替换了。





通过netstat命令，发现这可疑进程与一个不认识的IP有连接

IP地址为 110.80.141.212 端口25000



尝试把那个PS命令删除掉，从别的地方拷贝一个过来。明显的发现ps命令的大小不对。看来是这个文件里面可定有鬼。



操作完后，重启操作系统之前，我自己建立了一个这样的目录，设置一个极低的权限。看看重启后是什么效果



结果，重启后还是一样，暂时是没办法了。看了下 /bin 目录，很明显的发现ps命令netstat命令的大小有点不正常。看来是我一执行了ps、netstat命令就相当于是帮他启动了木马程序了。而且我删除了还没有，看来是他还有个守护进程，NND。



然后网上的第二篇文章说的是，找到在卡的时候，资源占用高的进程，然后再顺藤摸瓜。先写到这里，我去研究研究怎么顺藤摸瓜。

如果有碰到同样问题的，可以联系我。