今天網(wǎng)站訪問異常的慢，登錄服務(wù)器，查看了一下網(wǎng)卡的流量，居然發(fā)送幾個(gè)G的流量，網(wǎng)站訪問不大，正常情況應(yīng)該不會(huì)這么多。

馬上sar -n DEV 1 10查看實(shí)時(shí)流量，還在向外發(fā)包，應(yīng)該是被攻擊成了別人的肉雞了。

服務(wù)器就運(yùn)行了一個(gè)Apache和mysql數(shù)據(jù)庫，檢查了一下WEB日志，沒有發(fā)現(xiàn)什么異常，查看數(shù)據(jù)庫也都正常，也沒有什么錯(cuò)誤日志，lastlog查看發(fā)現(xiàn)有兩個(gè)異常用戶登錄過服務(wù)器。

我趕緊查看了一下目前運(yùn)行的進(jìn)程情況，看看有沒有什么異常的進(jìn)程，一查看果然發(fā)現(xiàn)幾個(gè)異常進(jìn)程，不仔細(xì)看還真看不出來。

這是個(gè)什么進(jìn)程呢，我每次ps -ef都不一樣，一直在變動(dòng)，進(jìn)程號也一直在變動(dòng)中，也看不了進(jìn)程打開了什么文件，一時(shí)無從下手。

想到這里，我突然意識(shí)到這應(yīng)該都是一些子進(jìn)程，由一個(gè)主進(jìn)程進(jìn)行管理，所以看這些子進(jìn)程是沒有用的，即便我殺掉他們還會(huì)有新的生成，擒賊先擒王，先找一下主進(jìn)程，我用top -d 1實(shí)時(shí)查看進(jìn)程使用資源的情況，看看是不是有異常的進(jìn)程占用cpu內(nèi)存等資源，發(fā)現(xiàn)了一個(gè)奇怪的進(jìn)程，平時(shí)沒有見過。這個(gè)應(yīng)該是苦苦尋找的木馬主進(jìn)程。

pstree查看果然是父進(jìn)程。

我嘗試殺掉這個(gè)進(jìn)程，killall -9 mdddikjosx，可是殺掉之后ps -ef查看還是有那些子進(jìn)程，難道沒有殺掉？再次top -d 1查看，發(fā)現(xiàn)有出現(xiàn)了一個(gè)其他的主進(jìn)程，看來殺是殺不掉的，要是那么容易殺掉就不是木馬了。

ls查看了一下計(jì)劃任務(wù)目錄，發(fā)現(xiàn)有個(gè)異常的sh腳本gcc.sh。

查看一下內(nèi)容更加奇怪了，這個(gè)應(yīng)該是監(jiān)聽程序死掉后來啟動(dòng)的，我把有關(guān)的配置全部刪掉，并且刪掉/lib/libudev4.so.6。

在/etc/init.d/目錄下面也發(fā)現(xiàn)了這個(gè)文件。  

里面的內(nèi)容是開機(jī)啟動(dòng)的信息，這個(gè)我也給刪掉。

到此為止，沒有新的木馬進(jìn)程生成，原理上說是結(jié)束掉了木馬程序，后面的工作就是要清楚這些目錄產(chǎn)生的文件，經(jīng)過我尋找，首先清除/etc/init.d目錄下面產(chǎn)生的木馬啟動(dòng)腳本，然后清除/etc/rc#.d/目錄下面的連接文件。

然后再清理/bin /usr/bin下面的文件。

注意：如果有病毒文件刪除時(shí)提示無權(quán)限（rm: cannot remove 'xxxx' Permission denied），可以使用lsattr 命令（lsattr 文件）：查看下是否有隱藏i屬性，如果有“i”屬性，使用chattr -i命令（chattr -i 文件）：刪除“i”隱藏屬性以后再rm -rf刪除。如果沒有此屬性，可以重啟服務(wù)器再刪除。