chkrootkit和rkhunter都查實了此機中了木馬,我不要重裝系統,唯有一個個文件還原。(有另一臺機的文件可以拷過去)
lsattr - list file attributes on a Linux second extended file system
顯示文件屬性
要清除i(不可修改)屬性才能對文件進行操作。
[root@GPSMCC bin]# lsattr ps
suS-iadAc---- ps
[root@GPSMCC bin]# chattr -suSadAci ps
[root@GPSMCC bin]# chown root:root ps
然後進行文件覆蓋。
感覺ssh的文件有點問題,裝了個新版本的上去。裝之前還要先更新zlib和openssl的版本。
發現/etc/rc.d/rc.sysinit 文件最下面加了一句
# Xntps (NTPv3 daemon) startup..
/usr/sbin/xntps -q
查了一下,這句是 shv4 rootkit 加上去的,刪掉
順便把這個xntps也刪掉
然後看到/etc/rc.d裏面的另一個文件rc.local也有點怪異
/usr/...../bin/snmp_proxy
/usr/...../bin/rcp_core
多了兩句這樣的東西,估計是HACKER拷上來的文件。
再根據rkhunter顯示的結果,刪掉一些HACKER拷上來的文件(與另一臺機的系統對比)