chkrootkit和rkhunter都查实了此机中了木马,我不要重装系统,唯有一个个文件还原。(有另一台机的文件可以拷过去)
lsattr - list file attributes on a Linux second extended file system
显示文件属性
要清除i(不可修改)属性才能对文件进行操作。
[root@GPSMCC bin]# lsattr ps
suS-iadAc---- ps
[root@GPSMCC bin]# chattr -suSadAci ps
[root@GPSMCC bin]# chown root:root ps
然后进行文件覆盖。
感觉ssh的文件有点问题,装了个新版本的上去。装之前还要先更新zlib和openssl的版本。
发现/etc/rc.d/rc.sysinit 文件最下面加了一句
# Xntps (NTPv3 daemon) startup..
/usr/sbin/xntps -q
查了一下,这句是 shv4 rootkit 加上去的,删掉
顺便把这个xntps也删掉
然后看到/etc/rc.d里面的另一个文件rc.local也有点怪异
/usr/...../bin/snmp_proxy
/usr/...../bin/rcp_core
多了两句这样的东西,估计是HACKER拷上来的文件。
再根据rkhunter显示的结果,删掉一些HACKER拷上来的文件(与另一台机的系统对比)