今天的主角是旁邊的服務器，學姐的Fedora。發生的情況和我的那臺ubuntu類似。(看來是一起被黑了)

連接雖擋，進程猶在

其實昨天已經發現學姐的系統出問題了，采取的措施和我那臺一樣，iptables直接DROP和可疑IP的連接。

今天學姐說，又出現了大流量的上行，而且似乎是通過smb(一個傳輸工具，可以不改變權限)，她擔心項目代碼泄漏。我過去看了下iptables，發現那條規則沒了，于是就有了今天的另一個關于iptables的博客。

netstat時發現，還是能看到SYN_SENT的標志。反復netstat，可以發現這個連接沒成功的話，過一段時間會消亡，然后又啟動。

外部入侵？還是內有奸細

分析如果是那邊連接過來，應該根本看不到這條記錄，于是我懷疑是本地程序嘗試連接可疑IP，也就是“被動攻擊”。netstat可以看到進程的pid，然后到/proc/相應pid目錄下用ls 可以看到pid執行的程序是什么。明天上圖

查到的執行程序在/usr/bin下。因為這個入侵事件的時間應該是最近，所以用

ls -l |grep Aug

過濾出8月份的修改記錄，然后發現了好多14年之前的文件，這些不會有問題。當然也有幾個最近的大小為0的，名字亂七八糟，一看就知道不是系統文件，明天上圖。

刪除文件，卻死而復生

大小為0的沒什么異常，刪掉之后就沒了。關鍵就是修改日期是前天或大前天的幾個文件，其中一個是可疑連接啟動的程序。

root權限下

rm -f 文件名 [文件名]......

刪除那幾個文件。刪掉之后，ls再看，又出現了個一樣大小的亂名文件！修改日期就是剛剛！

netstat查看連接，可疑連接的pid對應的程序就是這個剛剛生成的文件，至此我已毛骨悚然。

也就是說，一個有個進程在盯著這個文件，保證它存在于這個目錄下，而且在生成的同時運行了它，如果不干掉這個進程，我們永無安寧，但是我們上哪兒去找這個進程呢。

兵臨城下，背水一戰

windows平臺下，殺毒軟件成熟，不需要我們擔心。linux這里完全就是摸瞎。

群友分析

自己看可疑進程

linux系統進程這塊，我不是很熟，指不定kill一個進程就把系統弄崩，而且進程數量龐大，雖然一定可以找到，但是要多久就不好說了。

代碼有可能嵌到節區里了

就像win平臺下的PE病毒，病毒要執行的代碼嵌入到可執行代碼區。病毒課的課外作業我做的就是PE病毒，所以知道這個概念。但是并沒有什么用，我沒法手動取出被修改的節，單單它在哪個文件我都不知道。

等死or重裝

這個群友給的真是下下策，我所知道的我用的這臺ubuntu，光搭編譯ceph的環境都不知道能不能搞定，學姐這臺Fedora就更不清楚了。不過這個法子夠徹底，無后患。

其他幾個連接到這臺機器的服務器，也可能被感染了，重裝估計也避免不了了。

救命稻草，還是癡人說夢

就在我折騰這個Fedora的時候，轟的一聲，周圍全黑，停電了。回到實驗室，學長學姐鬧騰著，說東邊全停了。有人還叫著“我的報告啊！”，想想自己設置的wps1分鐘保存一次，真是慶幸。

回到寢室后，和一個經常用Debian的L同學聊了下，說可以算下可疑文件的MD5然后到網上查查，如果是比較嚴重的問題，應該有人已經遇到過了，否則就重裝吧。

回到自己寢室，和室友聊著聊著，腦海里閃過ubuntu安裝盤的試用界面，當時我是用這個搞定“重裝win7，grub消失”這個問題的。跑到L那兒，問了下，他說試用啟動的話，監視進程應該不會啟動，可疑文件應該就不會重生了，不過如果這個監視進程不是這個可疑文件自己釋放的，這個法子就沒意義了。 明早我去實驗室試試，祝我好運吧。

總結

以上是生活随笔為你收集整理的linux可疑程序,linux可疑程序追踪的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。