Trojan：DbSecurity 木马的查杀过程

本人手上有一台拥有外网IP的CentOS7服务器。今天照例登陆进行作业，发现敲个命令的卡顿卡顿的。

于是顺手top看看，我了个草：java.log 这个进程CPU占用率高达 90%

... wait... java.log是个什么鬼，我不记得最近有用到java的地方啊。于是ps看看这个进程启动路径：/tmp/java.log

再ls -l看看这个java.log: 尼玛，777的权限。到这里基本可以肯定+ 确定：中招了

先killall java.log，可以杀掉。 但是这么容易能叫Trojan么，果不其然，不出几秒钟，ps又可以看到它起来了。

再杀/tmp/java.log这个agent，果然没这么容易被删：

rm -rf /tmp/java.log

Permission Denied

蛋疼的只好又去google：为啥root都删不掉呢。

学习了个新的命令：chattr +i filename

再检查下java.log, 果然是这么回事~

去掉i属性，顺利删了~

就这么结束了？Too Simply too naive, 等了几秒钟，java.log进程又回来了。

我了个大草。

直接ps -Al 查看java.log的父进程，发现了这么个玩意：.sshd

这。。。怪不得我检查/usr/bin下面的目录的时候 没发现啥多出来的玩意。

找到就好办：杀杀杀

杀完了，再去/etc/rc*目录下检查，果然一堆启动项。

用find 命令，全杀了：

好了，至此，java.log至今没有被恢复，基本可以认为杀干净了。

检查/var/log/secure发现巴拿马/韩国 IP试图ssh我的服务器，不是代理就是肉鸡。

写个hosts.deny暂时屏蔽它。我也想过用hosts.allow白名单是不是更安全，但是很多同事想从家里链接，没法一个个添加白名单，所以还是算了~

（其实可以走代理访问，这样比较安全~等有空我研究下ssh端口转发）