Linux minerd木马清除(续)

前两天清除了minerd木马之后,服务器一直运行良好。本来以为就这样解决问题了。结果,今天晚上,突然收到监控组的告警,说服务器再度变慢,不但cpu 100%了,就是连带宽也100%了。我晕,于是SSH上去一看,哇塞,minerd 又回来了。而且还变本加厉,连带宽都占满了。

于是,老步骤。全部清理完之后。感觉还是不对。难道是服务器又被入侵了?查了下防火墙日志,似乎没有问题。SSH端口,密码之类的也全都改了。于是,耐下心来,用ps 将所有的进程列出来,一一查看一遍。由于服务器连续运行时间不短了,木马是最近才出现的,所以PID 比较小的进程就不用太关注,重点关注比较大的。这一看,果然又发现了一个可以的东西, 有一个进程居然运行着/var/tmp/ 下面的一段命令。看来看去应该就是他了。老办法,先将/var/tmp下的所有文件用chmod 000 改掉权限。然后kill掉可疑进程。然后再删除/var/tmp下的所有文件。

嗯,怎么说呢,截止目前,还没有发现死灰复燃的情况。但愿问题就这么解决了,剩下的需要在持续观察了,看看会不会再出问题。

毕竟俺只是个程序员,不是安全工程师啊,不要以为俺什么都能干啊,老板。

你可能感兴趣的:(杂项)