linux服务器中毒可疑进程,sfewfesfs CPU80%

标签：centos被黑, linux可疑进程, 病毒 故障解决 

客户用的是wdlinux， 难免会有漏洞，不知怎么就被莫名其妙地给入侵了，而且还频繁发包。下面是我查看攻击机器的整个过程。 首先跟客户要了root密码登录看，第一个命令是就top -c：

164811m78feteeox8xo1p3

排第一的竟然是route -n  ,  这让我有些怀疑，top 再看

165028okv1zzkjvmmfvv16

变成了一个10位的无规律字符串

ls  -l /proc/pid  查到该进程的老家（路径）

165221p6z1hgh15151ycya

删除掉  /usr/bin/kkflyxxuqh

重复上面的步骤发现，问题依旧，它还会自动生成：

165338pohkt7j571k3ohod

165345pzf878hyfnp2eufh

只不过名字改了，又伪装为linux命令 “id”

好顽固呀! 想到以命令  strace：

strace -tt -p 8832

165504lmi3hpdpd48maw4l

发现可疑文件 ：  /lib/libgcc.so

删掉： rm -f /lib/libgcc.so  竟然还会莫名其妙生成

165644z3536egz00566675

所以，这还不是根源文件，因为重启服务器后，问题依旧，所以怀疑是加入到系统服务列表了：

使用ntsysv把用不到的服务全部停掉：

165818do2ft6zy6f8vxzzx

竟然有大发现，这么多10位的随机字符串服务，肯定是不合法的。全部禁掉。

165933bnsprmnnrhmu8pin

然后去/etc/init.d/ 下删除这些垃圾文件：删除之后，再重启服务器，问题不再存在。 但为什么会有这些文件产生？还需要近一步探索。 要么是通过网站漏洞要么就是wdlinux的漏洞，还有一种可能那就是root密码被破。 所以，要解决该问题，第一就得换掉wdlinux，自己手动编译安装lamp环境。 第二要给网站做安全扫描和安全设置。第三，把root密码改的非常非常复杂。

其实 /lib/libgcc4.so 这个文件才是罪魁祸首， 至于这个文件为什么会自动生成，还需近一步排查。临时可以先给/lib/目录加个 i 权限。暂时控制一下。