服务器中病毒了?求解

2015-04-14 20:20:52 +08:00
 magicsilence
服务器redhat
--
1. 进程任意远程地址建立大量TCP链接,消耗系统资源。 远程地址隔一段时间更换。

2. 启动文件位于/usr/bin/ 或者/bin下。 杀掉进程,删除文件后,会再生成新命名的文件位于/usr/bin/ 或者/bin 下。

3. 病毒进程都是root启动. 父进程ID 为1
2275 次点击
所在节点    问与答
9 条回复
Septembers
2015-04-14 20:30:07 +08:00
不合格的问题 - 背景信息太少
magicsilence
2015-04-14 20:31:12 +08:00
@Septembers 还需要什么信息, 我再补充
Septembers
2015-04-14 20:35:15 +08:00
@magicsilence 病毒样本, 进程(ps aux), 网络状态(netstat -an), 系统版本
kiritoalex
2015-04-14 20:40:45 +08:00
可以参考Linux Rootkit病毒清除指南
Kirscheis
2015-04-14 21:31:09 +08:00
这感觉明显当肉鸡了。
建议贴个ps aux来看看,
基本上考虑备份重装吧。
des
2015-04-14 21:35:21 +08:00
重装吧,除非你有自信能完全清除
lincanbin
2015-04-14 21:47:56 +08:00
重装,别用弱口令。
最好用私钥登陆,登陆端口改掉防止扫描。
Tianpu
2015-04-14 21:48:42 +08:00
这会ps netstat什么的 已经完全不可靠了 至少不能当作可靠的命令了
可以先下载可靠的系统命令 再进一步处理 当然下载也不可靠了
因为现在确定不了哪个命令是未感染的

觉得这个时候最重要的是备份下数据吧

系统当作已经废了 格盘重装系统吧
magicsilence
2015-04-15 10:42:26 +08:00
已经搞定,问题同: http://blog.chinaunix.net/uid-20332519-id-4941140.html

谢谢楼上各位。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/183706

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX