linux可疑程式追蹤

今天的主角是旁邊的伺服器，學姐的fedora。發生的情況和我的那台ubuntu類似。（看來是一起被黑了）

其實昨天已經發現學姐的系統出問題了，採取的措施和我那台一樣，iptables直接drop和可疑ip的連線。

今天學姐說，又出現了大流量的上行，而且似乎是通過smb（乙個傳輸工具，可以不改變許可權），她擔心專案**洩漏。我過去看了下iptables，發現那條規則沒了，於是就有了今天的另乙個關於iptables的部落格。

netstat時發現，還是能看到syn_sent的標誌。反覆netstat，可以發現這個連線沒成功的話，過一段時間會消亡，然後又啟動。

分析如果是那邊連線過來，應該根本看不到這條記錄，於是我懷疑是本地程式嘗試連線可疑ip，也就是「被動攻擊」。netstat可以看到程序的pid，然後到/proc/相應pid目錄下用ls 可以看到pid執行的程式是什麼。明天上圖

查到的執行程式在/usr/bin下。因為這個入侵事件的時間應該是最近，所以用

ls -l |grep aug

過濾出8月份的修改記錄，然後發現了好多14年之前的檔案，這些不會有問題。當然也有幾個最近的大小為0的，名字亂七八糟，一看就知道不是系統檔案，明天上圖。

大小為0的沒什麼異常，刪掉之後就沒了。關鍵就是修改日期是前天或大前天的幾個檔案，其中乙個是可疑連線啟動的程式。

root許可權下

rm -f 檔名 [檔名]......

刪除那幾個檔案。刪掉之後，ls再看，又出現了個一樣大小的亂名檔案！修改日期就是剛剛！

netstat檢視連線，可疑連線的pid對應的程式就是這個剛剛生成的檔案，至此我已毛骨悚然。

也就是說，乙個有個程序在盯著這個檔案，保證它存在於這個目錄下，而且在生成的同時執行了它，如果不乾掉這個程序，我們永無安寧，但是我們上哪兒去找這個程序呢。

windows平台下，防毒軟體成熟，不需要我們擔心。linux這裡完全就是摸瞎。

群友分析

linux系統程序這塊，我不是很熟，指不定kill乙個程序就把系統弄崩，而且程序數量龐大，雖然一定可以找到，但是要多久就不好說了。

就像win平台下的pe病毒，病毒要執行的**嵌入到可執行**區。病毒課的課外作業我做的就是pe病毒，所以知道這個概念。但是並沒有什麼用，我沒法手動取出被修改的節，單單它在哪個檔案我都不知道。

這個群友給的真是下下策，我所知道的我用的這台ubuntu，光搭編譯ceph的環境都不知道能不能搞定，學姐這台fedora就更不清楚了。不過這個法子夠徹底，無後患。

其他幾個連線到這台機器的伺服器，也可能被感染了，重灌估計也避免不了了。

就在我折騰這個fedora的時候，轟的一聲，周圍全黑，停電了。回到實驗室，學長學姐鬧騰著，說東邊全停了。有人還叫著「我的報告啊！」，想想自己設定的wps1分鐘儲存一次，真是慶幸。

回到寢室後，和乙個經常用debian的l同學聊了下，說可以算下可疑檔案的md5然後到網上查查，如果是比較嚴重的問題，應該有人已經遇到過了，否則就重灌吧。

回到自己寢室，和室友聊著聊著，腦海裡閃過ubuntu安裝盤的試用介面，當時我是用這個搞定「重灌win7，grub消失」這個問題的。跑到l那兒，問了下，他說試用啟動的話，監視程序應該不會啟動，可疑檔案應該就不會重生了，不過如果這個監視程序不是這個可疑檔案自己釋放的，這個法子就沒意義了。

明早我去實驗室試試，祝我好運吧。