linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序

公司一套hadoop集群,装的CDH CM,被挂马了,动不动就特别卡,流量占用特别高。当初为了方便,裸在公网上了。而且密码还简单,这下是血的教训了。虽然上面已经同意了全部重装了,但是本屌有点不甘心,想了解该病毒的老窝在哪。下面会一些信息,分享给大家。




问题现象,linux服务网络特别卡,几乎无法工作。

特征

CPU爆满,并发现可疑程序。但是奇怪的是,CPU占用满了,却没在top命令里 htop命令里看到CPU占用高的进程,难道是隐藏了?

 linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第1张图片


发现可疑路径

 


在TMP目录发现可疑文件

linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第2张图片


在网上找了些,这里说一下,网上流转的几篇文章,总共就2篇,一个说是删除这些文件,并且修改目录权限,然后再重新安装一些包,升级一些包。

我首先尝试了删除的这些操作。

删除文件,删除进程

linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第3张图片


然后执行一下ps,他又出现了,我也是艹了个DJ的。



然后我并找到ps命令,找了几台正常服务器来进行对比

使用stat命令来文件的操作时间。

想了想,一个正常的文件为什么最后一次的修改时间就是现在呢?怀疑可能是该文件被个程序替换了。

linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第4张图片

linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第5张图片


通过netstat命令,发现这可疑进程与一个不认识的IP有连接

IP地址为 110.80.141.212 端口25000

linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第6张图片


尝试把那个PS命令删除掉,从别的地方拷贝一个过来。明显的发现ps命令的大小不对。看来是这个文件里面可定有鬼。

linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第7张图片


操作完后,重启操作系统之前,我自己建立了一个这样的目录,设置一个极低的权限。看看重启后是什么效果

linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第8张图片


结果,重启后还是一样,暂时是没办法了。看了下 /bin 目录,很明显的发现ps命令netstat命令的大小有点不正常。看来是我一执行了ps、netstat命令就相当于是帮他启动了木马程序了。而且我删除了还没有,看来是他还有个守护进程,NND。

linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序_第9张图片


然后网上的第二篇文章说的是,找到在卡的时候,资源占用高的进程,然后再顺藤摸瓜。先写到这里,我去研究研究怎么顺藤摸瓜。

如果有碰到同样问题的,可以联系我。




 

 

你可能感兴趣的:(linux服务器被挂马,ps命令netstat命令被挟持替换成其他程序)