一次linux刪除文件後又自動生成就是中***的狀況的解決過程

公司的內網某臺linux服務器流量莫名其妙的劇增,用iftop查看有鏈接外網的狀況。針對這種狀況通常重點查看netstat鏈接的外網ip和端口。

用lsof -p pid能夠查看到具體是那些進程，哪些文件。經查勘發現/root下有相關的配置conf.n hhe兩個可疑文件，rm -rf後不到一分鐘就自動生成了，由此推斷是某個母進程產生的這些文件。因此找到母進程就是找到罪魁禍首。

查殺病毒最好斷掉外網訪問，還好是內網服務器，能夠經過內網訪問。斷了內網，病毒就失去外聯的能力，殺掉它就容易的多。怎麼找到呢，找了半天也沒有看到蛛絲馬跡，沒辦法只有ps axu一個個排查，方法是查看能夠的用戶和和系統類似而又不是的冒牌貨，果真，看到了以下進程可疑。

看不到圖片就是/usr/bin/.sshd

因而我殺掉全部.sshd相關的進程，而後直接刪掉.sshd這個可執行文件。而後才刪掉了文章開頭提到的自動復活的文件。

總結一下，遇到這種問題，若是不是太嚴重，儘可能不要重裝系統，通常就是先斷外網，而後利用iftop,ps,netstat,chattr,lsof,pstree這些工具順藤摸瓜，通常都能找到元兇。可是若是遇到諸如此類的問題，

/boot/efi/EFI/redhat/grub.efi: Heuristics.Broken.Executable FOUND

我的以爲就要重裝系統了。

這篇文章只是解決問題的一種思路，僅僅做爲參考，並不是絕對。