CentOS最近手头一VPS被入侵挂上了木马,该木马用ps显示不出来,但能用top命令查看名称及pid,进而找到木马位置,及启动项。这些本来都不是问题,但这木马有个变态的地方就是有1到3个守护进程,推测文件完全与主进程文件一样,然后守护进程的名称是随机生成的,把主进程杀了以后,其中一个守护进程就会再变成主进程,并且守护进程每隔不固定几秒结束并以新的随机名称创建新的进程,这样pid就会在几秒之内变化,没办法kill掉所有进程。然后系统重启的时候该木马会检查有没有启动项,没有就直接添加了,大家有什么法子干掉这东西没?
这木马与 Linux.BackDoor.Gates.5(http://news.drweb.cn/show/?i=230&lng=cn&c=5)这个病毒比较像,但貌似是改进版,用着ddos攻击的。
上面没有重要东西的话就直接重装了