今天的主角是旁邊的服務(wù)器，學(xué)姐的Fedora。發(fā)生的情況和我的那臺ubuntu類似。(看來是一起被黑了)

連接雖擋，進(jìn)程猶在

其實昨天已經(jīng)發(fā)現(xiàn)學(xué)姐的系統(tǒng)出問題了，采取的措施和我那臺一樣，iptables直接DROP和可疑IP的連接。

今天學(xué)姐說，又出現(xiàn)了大流量的上行，而且似乎是通過smb(一個傳輸工具，可以不改變權(quán)限)，她擔(dān)心項目代碼泄漏。我過去看了下iptables，發(fā)現(xiàn)那條規(guī)則沒了，于是就有了今天的另一個關(guān)于iptables的博客。

netstat時發(fā)現(xiàn)，還是能看到SYN_SENT的標(biāo)志。反復(fù)netstat，可以發(fā)現(xiàn)這個連接沒成功的話，過一段時間會消亡，然后又啟動。

外部入侵？還是內(nèi)有奸細(xì)

分析如果是那邊連接過來，應(yīng)該根本看不到這條記錄，于是我懷疑是本地程序嘗試連接可疑IP，也就是“被動攻擊”。netstat可以看到進(jìn)程的pid，然后到/proc/相應(yīng)pid目錄下用ls 可以看到pid執(zhí)行的程序是什么。明天上圖

查到的執(zhí)行程序在/usr/bin下。因為這個入侵事件的時間應(yīng)該是最近，所以用

ls -l |grep Aug

過濾出8月份的修改記錄，然后發(fā)現(xiàn)了好多14年之前的文件，這些不會有問題。當(dāng)然也有幾個最近的大小為0的，名字亂七八糟，一看就知道不是系統(tǒng)文件，明天上圖。

刪除文件，卻死而復(fù)生

大小為0的沒什么異常，刪掉之后就沒了。關(guān)鍵就是修改日期是前天或大前天的幾個文件，其中一個是可疑連接啟動的程序。

root權(quán)限下

rm -f 文件名 [文件名]......

刪除那幾個文件。刪掉之后，ls再看，又出現(xiàn)了個一樣大小的亂名文件！修改日期就是剛剛！

netstat查看連接，可疑連接的pid對應(yīng)的程序就是這個剛剛生成的文件，至此我已毛骨悚然。

也就是說，一個有個進(jìn)程在盯著這個文件，保證它存在于這個目錄下，而且在生成的同時運(yùn)行了它，如果不干掉這個進(jìn)程，我們永無安寧，但是我們上哪兒去找這個進(jìn)程呢。

兵臨城下，背水一戰(zhàn)

windows平臺下，殺毒軟件成熟，不需要我們擔(dān)心。linux這里完全就是摸瞎。

群友分析

自己看可疑進(jìn)程

linux系統(tǒng)進(jìn)程這塊，我不是很熟，指不定kill一個進(jìn)程就把系統(tǒng)弄崩，而且進(jìn)程數(shù)量龐大，雖然一定可以找到，但是要多久就不好說了。

代碼有可能嵌到節(jié)區(qū)里了

就像win平臺下的PE病毒，病毒要執(zhí)行的代碼嵌入到可執(zhí)行代碼區(qū)。病毒課的課外作業(yè)我做的就是PE病毒，所以知道這個概念。但是并沒有什么用，我沒法手動取出被修改的節(jié)，單單它在哪個文件我都不知道。

等死or重裝

這個群友給的真是下下策，我所知道的我用的這臺ubuntu，光搭編譯ceph的環(huán)境都不知道能不能搞定，學(xué)姐這臺Fedora就更不清楚了。不過這個法子夠徹底，無后患。

其他幾個連接到這臺機(jī)器的服務(wù)器，也可能被感染了，重裝估計也避免不了了。

救命稻草，還是癡人說夢

就在我折騰這個Fedora的時候，轟的一聲，周圍全黑，停電了。回到實驗室，學(xué)長學(xué)姐鬧騰著，說東邊全停了。有人還叫著“我的報告啊！”，想想自己設(shè)置的wps1分鐘保存一次，真是慶幸。

回到寢室后，和一個經(jīng)常用Debian的L同學(xué)聊了下，說可以算下可疑文件的MD5然后到網(wǎng)上查查，如果是比較嚴(yán)重的問題，應(yīng)該有人已經(jīng)遇到過了，否則就重裝吧。

回到自己寢室，和室友聊著聊著，腦海里閃過ubuntu安裝盤的試用界面，當(dāng)時我是用這個搞定“重裝win7，grub消失”這個問題的。跑到L那兒，問了下，他說試用啟動的話，監(jiān)視進(jìn)程應(yīng)該不會啟動，可疑文件應(yīng)該就不會重生了，不過如果這個監(jiān)視進(jìn)程不是這個可疑文件自己釋放的，這個法子就沒意義了。 明早我去實驗室試試，祝我好運(yùn)吧。

總結(jié)

以上是生活随笔為你收集整理的linux可疑程序,linux可疑程序追踪的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。