Linux上手动杀毒,杀木马的经验

本人的VPS突然有一天告警流量即将超限,随后1天内因流量超限而被停机。

VPS重启后,我立即查询了网络流量情况,发现网络接口每秒有10M发送流量,且CPU也被大量占用,难怪海量带宽都能用尽。

用TOP查阅进程,发现是syslogd在占用CPU运行,仔细一看,系统中有2个syslogd,这个有问题的syslogd是已root身份运行的,因此想到这是中病毒了。

首先想到的是用calmav来查杀,结果无效,搞不懂为什么,也许syslogd本身不是一个病毒吗?

继续分析运行中的进程和syslogd这个执行程序,发现:

1、syslogd和一个叫conf.n的程序在root目录中出现,而且删掉了会继续出现;

2、除了syslogd,系统中还有一个agent,log,in.tftpd以root身份运行,非常可疑。

根据上述发现,编写了两个脚本:(1)删除syslogd和conf.n文件(2)用pkill命令同时删除syslogd,agent,in.tftpd,log

上述脚本运行后,系统大流量输出的问题暂时就解决了。

但是,到目前为止,本人还是对这些程序怎么跑进系统的,没有什么思路。

 

 

 

 

 

 

加入对话

  1. admin

1条评论

  1. 原因是服务器上运行的Wordpress管理员密码太简单了,被猜出后,通过wordpress上传了木马程序。除了上传和运行木马程序,还可以将整站wordpress删掉。

    后来修改了wordpress管理员密码,上述问题就再也没有发生过了。

留下评论