记一次linux系统中马后的处理

症状：机器疯狂向外发包，耗尽网络流量。

#netstat –tanl   发现只有一条ESTABLISHED连接外网

#netstat –an –p   查看PID

#kill –9 PID     kill掉之后连接又马上建立，而且连接的还是之前的外网ip

#ps aux | grep PID     查看是由哪个程序发起的连接  ( ps –ef | grep PID)

#发现是/bin/dyoen，执行rm –f /bin/dyoen后，又立刻生成了新的dyoen

#我只能重复上述步骤先kill掉该进程，然后把/bin/dyoen的可执行权限去掉，暂时解决了问题

#ls -lt /bin/，还发现被修改的还有netstat , ss , ps等命令，而且size都为123112

#find / -size 123112，又搜索出来了/usr/bin/.ssh，/usr/bin/lsof

后续的操作是依据下面博文进行的：

http://chenxingxing.blog.51cto.com/1956687/1586000

http://blog.youkuaiyun.com/liukeforever/article/details/38560363

转载于:https://my.oschina.net/forlinux/blog/369877