一台Linux的机器,在上面随意敲几下ps,居然出来一堆帮助信息。nnd,难道是我敲错了参数?再看,没错啊~~~再敲一遍,还是有问题。难道是……ps被替换了?rpm -qf /bin/ps,知道ps是procps包的。于是rpm -V procps,fk!果然是被人替换了,netstat也不能幸免。用find -ctime找了一下,发现/bin、/usr/bin下n多文件被改动过。把那些文件移动到一个新建的目录里面,从RH的ftp下载那些rpm包,rpm2cpio xxx.rpm | cpio -divm 把文件解出来,cp到相应的地方,但是rpm -V发现还是有问题:(。
受不了啦,嗯,机器上装了ClamAV,就用它scan一下吧。netstat: Linux.RST.B FOUND!汗!以前在某个BBS看到有人说装RH Linux的机器中了这个病毒,居然我也碰到了,运气不错啊。cp也染毒了,所以刚才cp过去的文件当然有问题啦。这个…怎么办呢?噢,/bin/mv还是可以用的,哈哈。经过一阵替换,OK。
netstat看一下,有几个陌生的端口。telnet看了一下,有一个是ssh后门吧。ps发现一个”smbd -D”的进程,这是有问题滴。
Google了一下,找到一些相关的东西。唉,日志都被删掉了,没意思啊。接着升级一下软件包、内核,hoho。
Leave a Reply