個人Linux病毒追蹤記錄

第一次本身一我的全權負責作遊戲服務器，對於Linux安全並不太懂，因此就在昨天，服務器遭到了攻擊，剛開始，只是發現服務器的帶寬佔滿了，覺得是帶寬不夠用，但是想一想，弱聯網遊戲對帶寬佔用也不高啊並且帶寬加大一倍也於事無補，在UCloud控制檯看到帶寬的波形圖，好幾回都達到頂峯，因而我在服務器用iftop查看了網絡流量監控，發現服務器總往一個ip發送數據包，一發就是1G，這流量，不只耗帶寬，還燒錢啊，網上搜索後發現，服務器可能被攻擊了，被黑客入侵看成肉雞瘋狂的發數據包，致使網絡流量出口帶寬瞬間佔滿，在不明白我如何被攻擊以及如何根除的狀況下，我只能首先封掉了這個ip的出入口，而後網絡狀況暫時穩定了，但我明白，問題並無根除，但因爲我還有其餘事要作，暫時沒管，還有一些功能等着我開發，昨天暫時也穩定了，然而今天有時間了，我就想辦法完全根除他，經過追蹤，發現了病毒的位置，可是刪不掉，由於他不只加入了系統服務，並且定時執行腳本，檢測病毒文件是否存在，不存在則建立，因而這個文件怎麼刪都刪不掉，最後仍是經過網上搜索，終於發現別人跟我同樣的狀況，最終得以根除。做爲linux安全小白，這樣的問題，我必須記錄下來，而且記錄下解決步驟，以備後患，linux安全確實還是個人一片空白區，還要多多學習啊，頗有多是個人服務器密碼設置過於簡單，遭到黑客的暴力破解，或者是黑客利用bash漏洞植入病毒。 
如下是兩篇當時搜到的有用的文章，感謝原文做者 http://www.apelearn.com/bbs/thread-7409-1-1.html http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html 
如下個人追蹤以及根除步驟： 

1. 查看網絡流量實時監控，發現服務器向一個ip發送大量大數據包，命令：iftop 
2. 即時封殺目的ip，命令：iptables –A OUTPUT –d 「127.0.0.1」 –j DROP（進口流量則是INPUT） 
3. 查看可疑進程，發現進程管理器中總出現一個隨機十位字母的進程，kill掉會換個名字再次出現，命令：top / kill 
4. 經過pid揪出可疑進程的位置（其實已經肯定是它了！），而後就能發現這個萬惡的根源，命令：ls -l /proc/pid 
5. 刪掉它，發現於事無補，真是頑固的病毒，因而用strace命令追蹤打開的病毒文件，命令：strace –tt –p 端口號 
6. 經過追蹤日誌發現他打開一個libkill.so文件（不一樣狀況可能名字不同），刪掉這個文件，發現還刪不掉，會再自動生成 
7. 服務器重啓也仍然存在問題，因此懷疑被加入了系統服務，因而關掉可疑係統服務（其實看名字就看出來，那些十位隨機字母的服務都是病毒），命令：ntsysv 
8. 去系統服務下刪掉垃圾文件，命令：cd /etc/init.d ，病毒文件所有rm掉 
9. 再重啓服務器，問題沒有了，但libkill.so文件依然存在，須要繼續解決 
10. 經查，/etc/cron.hourly文件夾下有一個可疑的腳本文件kill.sh，打開一看，這就是自動生成libkill.so病毒的根源，刪除這個腳本文件，再刪除libkill.so。OK！問題解決！ 

這次經歷讓我意識到我Linux安全方面知識的空缺，linux平時的安全性沒有獲得保障，目前病毒已根除，服務器密碼也改的異常複雜（我本身都記不住。。。）