一大早就解决了个服务器木马问题

Posted 2020-09-21

今天早上上班，解决了一个木马问题

先有人发现本地测试网页打不开，于是我 ssh登上服务器

第一步

使用ps以及netstat命令查看服务运行状态，发现这2个命令返回全是空的，当时就感觉这2个命令被人替换了

第二步

然后分别跟正常服务器对比，发现这2个命令大小都是一样的，而且正常的大小不一样。

第三步

从正常的服务器把这2个命令拷贝到任意目录，加上目录名正常使用

第四步

发现家目录下有个t文件，而且是可执行文件，一看就是有问题的

第五步

到/etc/init.d目录下 执行ls -la|sort -k6按更新月份排序，重点关注本月的文件，然后发现有一个名字很乱的文件大概叫vs******，不好意思当时很急忘了记了。打开发现这个文件只有个简单的命令，就是启动t命令的。删除，重启，发现问题依然。

第六步

后来用了很多lsof什么的命令，使用lsof -p ‘木马进程id‘,最后没办法还是查看/etc/init.d目录，发现本月还有个selinux文件，然后跟正常服务器对比，发现并没有这个目录。然后进去查看，果然指向了一个新的目录，删除目录下的有问题的文件，重启后就正常了

 

挺遗憾的没有正确的记录下来，漏了很多东西。

QQ429882405，遇到同样问题的可以交流下，我有点经验了