本文介绍了一台服务器遭受恶意程序入侵的情况,并详细记录了入侵现象及处理过程。通过对比正常服务器与被入侵服务器上的关键程序大小差异,确定了系统文件被替换的事实。文章最后给出了具体的解决方案,包括如何卸载并重新安装被篡改的程序。
直接从一台没服务器上把这两文件scp到当前的服务器上并替换这两个程序就ok了!!!!这种方法测试成功!!!!
出现了一个比效麻烦的事,服务器的负载正常,内存也正常,但就是很卡。
通过查找到线索:http://mt.sohu.com/it/d20170125/125107886_487514.shtml
有恶意进程入侵,处理过程中,怀疑系统文件被替换:
通过对比訪机器与正常机器上面的ps,netstat等程充的大小发现敏感程序已经被替换
正常机器
du -sh /bin/ps
92k /bin/ps
du -sh /bin/netstat
120k /bin/netstat
被入侵机器:
du -sh /bin/netstat
2.0M /bin/ps
du -sh /bin/ps
2.0M /bin/ps
解决的方法是先卸载掉生成netstat ps 这两条命的包:
# rpm -qf /bin/ps procps-3.2.8-36.el6.x86_64 # rpm -e --nodeps procps #yum install -y procps # rpm -qf /bin/netstat net-tools-1.60-110.el6_2.x86_64 #rpm -e net-tools --nodeps 这样就把恶意程序删掉了
扫一扫
8921
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
