网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
案例分析
我连接到服务器后,运行ifconfig命令,检查网卡的发送、接收数据情况,如下所示,网卡eth0累计发送了12.3TB的数据。这明显不太正常,显然有应用程序一直在往外发包。我特意对比了另外一台正常的服务器后,验证了这个事实。
那么是那个应用程序在一直往外发送包呢? 我首先检查了Linux系统日志,发现了一些错误、告警信息。但是作用不大。于是在服务器上安装了NetHogs应用程序,实时监控Linux进程的网络带宽占用情况。
监控过程确实发现了一些异常情况的进程:
1:/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys 一直在往外发包
2:/usr/bin/bsd-port/agent 一直在往外发包。
3:./cmys一直在往外发包
4:不时出现下面大量异常进程
[root@LNX17 /]# ps -ef | grep getty
root 2012 1 0 May22 tty2 00:00:00 /sbin/mingetty /dev/tty2
root 2014 1 0 May22 tty3 00:00:00 /sbin/mingetty /dev/tty3
root 2018 1 0 May22 tty4 00:00:00 /sbin/mingetty /dev/tty4
root 2020 1 0 May22 tty5 00:00:00 /sbin/mingetty /dev/tty5
root 2022 1 0 May22 tty6 00:00:00 /sbin/mingetty /dev/tty6
root 13835 32735 0 01:02 pts/0 00:00:00 grep getty
[root@LNX17 tmp]# ll /usr/bin/bsd-port/
total 2324
-rwxr-xr-x. 1 root root 1135000 Jul 17 08:28 agent
-rwxr-xr-x. 1 root root 4 Jul 17 08:28 agent.conf
-rw-r--r--. 1 root root 27 Jul 21 12:42 cmd.n
-rw-r--r--. 1 root root 73 Aug 21 21:30 conf.n
-rwxr-xr-x. 1 root root 1223123 Aug 21 04:08 getty
-rwxr-xr-x. 1 root root 5 Aug 21 04:08 getty.lock
搜索/usr/bin/bsd-port/agent等进程相关资料,发现很多关于木马、后门方面的文章,严重怀疑服务器被挂马了。手工杀进程或手工删除/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys文件,发现不过一会儿,又会出现相同的进程和文件。于是下载安装了AVG ANTIVIRUS FREE - FOR LINUX这款杀毒软件,但是启动服务失败,不想折腾,于是安装了ClamAV 杀毒软件
ClamAV介绍
ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外,这是一个面向服务端的软件。
下载ClamAV安装包
ClamAV的官方下载地址为http://www.clamav.net/download.html 我直接使用wget下载源码安装文件。
[root@LNX17 tmp]# wget http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz
--2015-08-21 21:58:36-- http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz
Resolving nchc.dl.sourceforge.net... 211.79.60.17, 2001:e10:ffff:1f02::17
Connecting to nchc.dl.sourceforge.net|211.79.60.17|:80... connected.
HTTP