公司的內網某臺linux服務器流量莫名其妙的劇增,用iftop查看有連接外網的情況

針對這種情況一般重點查看netstat連接的外網ip和端口。

用lsof -p pid可以查看到具體是那些進程，哪些文件

經查勘發現/root下有相關的配置conf.n hhe兩個可疑文件，rm -rf后不到一分鐘就自動生成了

由此推斷是某個母進程產生的這些文件。所以找到母進程就是找到罪魁禍首

查殺病毒最好斷掉外網訪問，還好是內網服務器，可以通過內網訪問

斷了內網，病毒就失去外聯的能力，殺掉它就容易的多

怎么找到呢，找了半天也沒有看到蛛絲馬跡，沒辦法只有ps axu一個個排查

方法是查看可以的用戶和和系統相似而又不是的冒牌貨，果然，看到了如下進程可疑

看不到圖片就是/usr/bin/.sshd

于是我殺掉所有.sshd相關的進程，然后直接刪掉.sshd這個可執行文件

然后才刪掉了文章開頭提到的自動復活的文件

總結一下，遇到這種問題，如果不是太嚴重，盡量不要重裝系統

一般就是先斷外網，然后利用iftop,ps,netstat,chattr,lsof,pstree這些工具順藤摸瓜

一般都能找到元兇。但是如果遇到諸如此類的問題

/boot/efi/EFI/redhat/grub.efi:?Heuristics.Broken.Executable?FOUND，個人覺得就要重裝系統了

總結

以上是生活随笔為你收集整理的发现一个病毒文件你删了他又自动创建怎么解决的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。