V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
magicsilence
V2EX  ›  问与答

服务器中病毒了?求解

  •  
  •   magicsilence · 2015-04-14 20:20:52 +08:00 · 2247 次点击
    这是一个创建于 3496 天前的主题,其中的信息可能已经有所发展或是发生改变。
    服务器redhat
    --
    1. 进程任意远程地址建立大量TCP链接,消耗系统资源。 远程地址隔一段时间更换。

    2. 启动文件位于/usr/bin/ 或者/bin下。 杀掉进程,删除文件后,会再生成新命名的文件位于/usr/bin/ 或者/bin 下。

    3. 病毒进程都是root启动. 父进程ID 为1
    9 条回复    2015-04-15 10:42:26 +08:00
    Septembers
        1
    Septembers  
       2015-04-14 20:30:07 +08:00
    不合格的问题 - 背景信息太少
    magicsilence
        2
    magicsilence  
    OP
       2015-04-14 20:31:12 +08:00
    @Septembers 还需要什么信息, 我再补充
    Septembers
        3
    Septembers  
       2015-04-14 20:35:15 +08:00   ❤️ 1
    @magicsilence 病毒样本, 进程(ps aux), 网络状态(netstat -an), 系统版本
    kiritoalex
        4
    kiritoalex  
       2015-04-14 20:40:45 +08:00 via Android   ❤️ 1
    可以参考Linux Rootkit病毒清除指南
    Kirscheis
        5
    Kirscheis  
       2015-04-14 21:31:09 +08:00 via iPhone   ❤️ 1
    这感觉明显当肉鸡了。
    建议贴个ps aux来看看,
    基本上考虑备份重装吧。
    des
        6
    des  
       2015-04-14 21:35:21 +08:00   ❤️ 1
    重装吧,除非你有自信能完全清除
    lincanbin
        7
    lincanbin  
       2015-04-14 21:47:56 +08:00   ❤️ 1
    重装,别用弱口令。
    最好用私钥登陆,登陆端口改掉防止扫描。
    Tianpu
        8
    Tianpu  
       2015-04-14 21:48:42 +08:00   ❤️ 1
    这会ps netstat什么的 已经完全不可靠了 至少不能当作可靠的命令了
    可以先下载可靠的系统命令 再进一步处理 当然下载也不可靠了
    因为现在确定不了哪个命令是未感染的

    觉得这个时候最重要的是备份下数据吧

    系统当作已经废了 格盘重装系统吧
    magicsilence
        9
    magicsilence  
    OP
       2015-04-15 10:42:26 +08:00
    已经搞定,问题同: http://blog.chinaunix.net/uid-20332519-id-4941140.html

    谢谢楼上各位。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2570 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 15:32 · PVG 23:32 · LAX 07:32 · JFK 10:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.