今天網(wǎng)站訪問異常的慢，登錄服務器，查看了一下網(wǎng)卡的流量，居然發(fā)送幾個G的流量，網(wǎng)站訪問不大，正常情況應該不會這么多。

馬上sar -n DEV 1 10查看實時流量，還在向外發(fā)包，應該是被攻擊成了別人的肉雞了。

服務器就運行了一個Apache和mysql數(shù)據(jù)庫，檢查了一下WEB日志，沒有發(fā)現(xiàn)什么異常，查看數(shù)據(jù)庫也都正常，也沒有什么錯誤日志，lastlog查看發(fā)現(xiàn)有兩個異常用戶登錄過服務器。

我趕緊查看了一下目前運行的進程情況，看看有沒有什么異常的進程，一查看果然發(fā)現(xiàn)幾個異常進程，不仔細看還真看不出來。

這是個什么進程呢，我每次ps -ef都不一樣，一直在變動，進程號也一直在變動中，也看不了進程打開了什么文件，一時無從下手。

想到這里，我突然意識到這應該都是一些子進程，由一個主進程進行管理，所以看這些子進程是沒有用的，即便我殺掉他們還會有新的生成，擒賊先擒王，先找一下主進程，我用top -d 1實時查看進程使用資源的情況，看看是不是有異常的進程占用cpu內(nèi)存等資源，發(fā)現(xiàn)了一個奇怪的進程，平時沒有見過。這個應該是苦苦尋找的木馬主進程。

pstree查看果然是父進程。

我嘗試殺掉這個進程，killall -9 mdddikjosx，可是殺掉之后ps -ef查看還是有那些子進程，難道沒有殺掉？再次top -d 1查看，發(fā)現(xiàn)有出現(xiàn)了一個其他的主進程，看來殺是殺不掉的，要是那么容易殺掉就不是木馬了。

ls查看了一下計劃任務目錄，發(fā)現(xiàn)有個異常的sh腳本gcc.sh。

查看一下內(nèi)容更加奇怪了，這個應該是監(jiān)聽程序死掉后來啟動的，我把有關的配置全部刪掉，并且刪掉/lib/libudev4.so.6。

在/etc/init.d/目錄下面也發(fā)現(xiàn)了這個文件。  

里面的內(nèi)容是開機啟動的信息，這個我也給刪掉。

到此為止，沒有新的木馬進程生成，原理上說是結束掉了木馬程序，后面的工作就是要清楚這些目錄產(chǎn)生的文件，經(jīng)過我尋找，首先清除/etc/init.d目錄下面產(chǎn)生的木馬啟動腳本，然后清除/etc/rc#.d/目錄下面的連接文件。

然后再清理/bin /usr/bin下面的文件。

注意：如果有病毒文件刪除時提示無權限（rm: cannot remove 'xxxx' Permission denied），可以使用lsattr 命令（lsattr 文件）：查看下是否有隱藏i屬性，如果有“i”屬性，使用chattr -i命令（chattr -i 文件）：刪除“i”隱藏屬性以后再rm -rf刪除。如果沒有此屬性，可以重啟服務器再刪除。