直接从一台没服务器上把这两文件scp到当前的服务器上并替换这两个程序就ok了!!!!这种方法测试成功!!!!
出现了一个比效麻烦的事,服务器的负载正常,内存也正常,但就是很卡。
通过查找到线索:http://mt.sohu.com/it/d20170125/125107886_487514.shtml
有恶意进程入侵,处理过程中,怀疑系统文件被替换:
通过对比訪机器与正常机器上面的ps,netstat等程充的大小发现敏感程序已经被替换
正常机器
du -sh /bin/ps
92k /bin/ps
du -sh /bin/netstat
120k /bin/netstat
被入侵机器:
du -sh /bin/netstat
2.0M /bin/ps
du -sh /bin/ps
2.0M /bin/ps
解决的方法是先卸载掉生成netstat ps 这两条命的包:
# rpm -qf /bin/ps procps-3.2.8-36.el6.x86_64 # rpm -e --nodeps procps #yum install -y procps # rpm -qf /bin/netstat net-tools-1.60-110.el6_2.x86_64 #rpm -e net-tools --nodeps 这样就把恶意程序删掉了