公司服务器中了病毒，用了命令查找最近100天的可执行文件，找出病毒文件，并删除

公司服务器中了病毒，用了命令查找最近100天的可执行文件，找出病毒文件，并删除。然后ps -ef找到病毒的pid kill -9删除

find / -type f -perm  /111  -mtime -100

从网上找的其他人的文章，和我公司中的病毒一样，再此做个借鉴。

 

一、背景

    晚上看到有台服务器流量跑的很高，明显和平常不一样，流量达到了800Mbps，第一感觉应该是中木马了，被人当做肉鸡了，在大量发包。

    我们的服务器为了最好性能，防火墙（iptables）什么的都没有开启，但是服务器前面有物理防火墙，而且机器都是做的端口映射，也不是常见的端口，按理来说应该是满安全的，可能最近和木马有缘吧，老是让我遇到，也趁这次机会把发现过程记录一下。

二、发现并追踪处理

1、查看流量图发现问题

    查看的时候网页非常卡，有的时候甚至没有响应。

2、top动态查看进程

    我马上远程登录出问题的服务器，远程操作很卡，网卡出去的流量非常大，通过top发现了一个异常的进程占用资源比较高，名字不仔细看还真以为是一个Web服务进程。

3、ps命令查看进程的路径

     发现这个程序文件在/etc目录下面，是个二进制程序，我拷贝了下来，放到了本文附近位置，以供大家在虚拟机上面研究，哈哈。

4、结束异常进程并继续追踪

    干掉进程之后，流量立刻下来了，远程也不卡顿了，难道删掉程序文件，干掉异常进程我们就认为处理完成了么？想想也肯定没那么简单的，这个是木马啊，肯定还会自己生成程序文件（果然不出我所料，在我没有搞清楚之前，后面确实又生成了）我们得继续追查。

5、查看登录记录及日志文件secure

    通过命令last查看账户登录记录，一切正常。查看系统文件message并没有发现什么，但是当我查看secure文件的时候发现有些异常，反正是和认证有关的，应该是尝试连进来控制发包？