前兩天清除了minerd木馬之後,服務器一直運行良好。本來以爲就這樣解決問題了。結果,今天晚上,突然收到監控組的告警,說服務器再度變慢,不但cpu 100%了,就是連帶寬也100%了。我暈,於是SSH上去一看,哇塞,minerd 又回來了。而且還變本加厲,連帶寬都佔滿了。
於是,老步驟。全部清理完之後。感覺還是不對。難道是服務器又被入侵了?查了下防火牆日誌,似乎沒有問題。SSH端口,密碼之類的也全都改了。於是,耐下心來,用ps 將所有的進程列出來,一一查看一遍。由於服務器連續運行時間不短了,木馬是最近纔出現的,所以PID 比較小的進程就不用太關注,重點關注比較大的。這一看,果然又發現了一個可以的東西, 有一個進程居然運行着/var/tmp/ 下面的一段命令。看來看去應該就是他了。老辦法,先將/var/tmp下的所有文件用chmod 000 改掉權限。然後kill掉可疑進程。然後再刪除/var/tmp下的所有文件。
嗯,怎麼說呢,截止目前,還沒有發現死灰復燃的情況。但願問題就這麼解決了,剩下的需要在持續觀察了,看看會不會再出問題。
畢竟俺只是個程序員,不是安全工程師啊,不要以爲俺什麼都能幹啊,老闆。
