当服务器中病毒后会主动向外网发出数据包造成大量的带宽拥堵甚至造成死机情况出现
1、检查当前服务器流量情况
2、检查当前服务器进程的运行情况
3、检查该进程是在哪里存放的
4、既然程序被出发启动,并且停止后还会自动运行,首先考虑在计划任务,查找/etc/cron*文件
5、检查/etc/init.d目录查看有没有可疑的文件存在
检查发现有DbSecuritySpt字样文件存在。怀疑可能是病毒的伪装文件查看内容
从内容分析矛头指向当前目录下的udev也就是病毒运行程序的名称,屡次杀死均被触发。杀死进程,删除当前目录下的udev,和DbSecuritySpt
6、继续查找当前系统运行的程序
会发现有名称叫做.sshd程序在运行,并且也是杀死还会出现。并且在程序活动期间会产生大量的外部链接进程,通过pstree查找父进程均为此文件
既然是后门程序那么一定会有访问链接入口,就是in.telnetd x.x.x.x 并且地址大都是国外地址
杀死进程,删除.sshd文件
7、查询/usr/bin下其他可疑目录或者文件
8、查看tmp下由udev程序启动所对应的PID,查找并删除
9、删除/etc/rc.d/rc.d/下面的软连接伪装程序文件
10、继续查看后门所发起的进程相关可疑进程
单纯链接来看是一个日本的链接不管是啥反正是不正常的,直接杀死进程,然后去查看in.telnetd所在的位置,怀疑也是被破坏了的文件,我们找一台正常的服务器然后用md5效验这个文件
校验一直没有被修改
/bin/login用同样发现校验
**至此服务器基本正常,观察几分钟后有无相关情况再次出现。类似木马特性和rootkill很相似主要利用服务器某个程序的后门植入服务器然后服务器就被肉鸡
发现文件不对,直接删除文件,从正常的机器中复制一份到本机
**```
