这是一个创建于 3510 天前的主题,其中的信息可能已经有所发展或是发生改变。
服务器redhat
--
1. 进程任意远程地址建立大量TCP链接,消耗系统资源。 远程地址隔一段时间更换。
2. 启动文件位于/usr/bin/ 或者/bin下。 杀掉进程,删除文件后,会再生成新命名的文件位于/usr/bin/ 或者/bin 下。
3. 病毒进程都是root启动. 父进程ID 为1
--
1. 进程任意远程地址建立大量TCP链接,消耗系统资源。 远程地址隔一段时间更换。
2. 启动文件位于/usr/bin/ 或者/bin下。 杀掉进程,删除文件后,会再生成新命名的文件位于/usr/bin/ 或者/bin 下。
3. 病毒进程都是root启动. 父进程ID 为1
 |
1
Septembers 2015-04-14 20:30:07 +08:00
不合格的问题 - 背景信息太少
|
 |
2
magicsilence OP @Septembers 还需要什么信息, 我再补充
|
|
3
Septembers 2015-04-14 20:35:15 +08:00  1
@magicsilence 病毒样本, 进程(ps aux), 网络状态(netstat -an), 系统版本
|
 |
4
kiritoalex 2015-04-14 20:40:45 +08:00 via Android 1
可以参考Linux Rootkit病毒清除指南
|
 |
5
Kirscheis 2015-04-14 21:31:09 +08:00 via iPhone 1
这感觉明显当肉鸡了。
建议贴个ps aux来看看, 基本上考虑备份重装吧。 |
 |
6
des 2015-04-14 21:35:21 +08:00 1
重装吧,除非你有自信能完全清除
|
 |
7
lincanbin 2015-04-14 21:47:56 +08:00 1
重装,别用弱口令。
最好用私钥登陆,登陆端口改掉防止扫描。 |
 |
8
Tianpu 2015-04-14 21:48:42 +08:00 1
这会ps netstat什么的 已经完全不可靠了 至少不能当作可靠的命令了
可以先下载可靠的系统命令 再进一步处理 当然下载也不可靠了 因为现在确定不了哪个命令是未感染的 觉得这个时候最重要的是备份下数据吧 系统当作已经废了 格盘重装系统吧 |
|
9
magicsilence OP |
Select Language