Linux云主机中木马病毒后向外发包的处理过程

客户需求如下：





使用ps命令发现二个异常进程：





并且ps命令被替换过：




另外几个被替换的命令：





查找自启动设置，发现二个服务：







其中heifacai这个文件使用chattr命令设置了锁定属性，并不能直接删除：





清除掉木马的程序和服务，重装被替换的命令，处理结束。

这个木马的开发者并不是很敬业，很多方面并没有做好，这也给处理带来了方便，比如：
1，一般替换掉的ps命令可以隐藏掉恶意程序本身的进程，但这个并没有。
2，程序并没有复活机制，进程KILL掉就不会再运行。
3，程序甚至直接放到了/root/目录下。


程序清除了SSH登录记录，但并未清除history记录，在其中发现了木马程序的下载和执行记录，基本可以确定是密码泄露导致的这次事故。

类似案例：
http://www.yundaiwei.com/post/792.html
http://www.yundaiwei.com/post/146.html


原文：http://www.yundaiwei.com/post/800.html