事例描述

早上接到 IDC 的 *** ，说咱们的一个网段 IP 不断的向外发包，应该是被进犯了，详细哪个 IP不知道，让咱们检查一下。

按理剖析及解决办法

首要咱们要先确定是哪台机器的网卡在向外发包，还好咱们这边有 zabbix 监控，我就一台一台的检查，发现有一台的流量跑满了，问题应该呈现在这台机器上面。

我登录到机器里边，检查了一下网卡的流量，我的天啊，竟然跑了这个多流量。

这台机器主要是运转了一个 tomcat WEB 服务和 oracle 数据库，问题不应该呈现在 WEB 服务和数据库上面，我检查了一下 WEB 日志，没有发现什么反常，检查数据库也都正常，也没有什么过错日志，检查体系日志，也没有看到什么反常，可是体系的登录日志被铲除了，

我赶忙检查了一下现在运转的进程状况，看看有没有什么反常的进程，一检查，公然发现几个反常进程，不仔细看还真看不出来，这些进程都是不正常的。

这是个什么进程呢，我每次 ps -ef 都不相同，一直在改变，进程号一一直在改变中，我想看看进程打开了什么文件都行，一时无从下手，想到这儿，我忽然意识到这应该都是一些子进程，由一个主进程进行办理，所以看这些子进程是没有用的，即使我杀掉他们还会有新的生成，擒贼先擒王，咱们去找一下主进程，我用 top d1 实时检查进程运用资源的状况，看看是不是有反常的进程占用 cpu 内存等资源，发现了一个古怪的进程，平常没有见过。这个应该是咱们寻觅的木马主进程。

我测验杀掉这个进程， killall -9 ueksinzina ，可是杀掉之后 ps -ef 检查仍是有那些子进程，莫非没有杀掉？再次 top d1 检查，发现有呈现了一个其他的主进程，看来杀是杀不掉的，要是那么简单杀掉就不是木马了。

咱们看看他究竟是什么， ”which obgqtvdunq” 发现这个指令在 /usr/bin 下面，屡次杀死之后又从头在 /usr/bin 目录下面生成，想到应该有什么程序在监听这个进程的状况也可能有什么守时使命，发现进程死掉在从头履行，我就依照现在的思路检查了一下 /etc/crontab 守时使命以及 /etc/init.d发动脚本，均发现有问题。

能够看到里边有个守时使命 gcc4.sh ，这个不是咱们设定的，检查一下内容愈加古怪了，这个应该是监听程序死掉后来发动的，咱们这边把有关的装备悉数删掉，而且删掉 /lib/libudev4.so 。

在 /etc/init.d/ 目录下面也发现了这个文件。

里边的内容是开机发动的信息，这个咱们也给删掉。

以上两个是一个在开机发动的时分发动木马，一个是木马程序死掉之后发动木马，可是现在咱们杀掉木马的时分木马并没有死掉，而是马上替换姓名切换成另一个程序文件运转，所以咱们直接杀死是没有任何用途的，咱们意图便是要阻挠新的程序文件生成，首要咱们撤销程序的履行权限并把程序文件成成的目录 /usr/bin 目录确定。

chmod 000 /usr/bin/obgqtvdunq 
chattr +i /usr/bin 
 

然后咱们杀掉进程 ”killall -9 obgqtvdunq” ，然后咱们在检查 /etc/init.d/ 目录，看到他又生成了新的进程，而且目录改变到了 /bin 目录下面，和上面相同，撤销履行权限并把 /bin 目录确定，不让他在这儿生成，杀掉然后检查他又生成了新的文件，这次他没有在环境变量目录里边，在 /tmp 里边，咱们把 /tmp 目录也确定，然后完毕掉进程。

到此为止，没有新的木马进程生成，原理上说是完毕掉了木马程序，后边的作业便是要清楚这些目录发生的文件，通过我寻觅，首要铲除 /etc/init.d 目录下面发生的木马发动脚本，然后清楚 /etc/rc#.d/ 目录下面的衔接文件。

[1] [2]  黑客接单网