木马用 clamav 查出来的名字是 Unix.Trojan.Agent-37008,是发起 DDOS
攻击用的,所以会发起大量对外网的连接占用带宽。
clamav 安装:
yum install epel-release
yum install clamav
安装之后更新病毒库:
freshclam
查毒命令:
clamscan [路径] -ri
路径默认为当前路径,-r 表示查子文件夹,-i 表示只显示感染的文件
发现的木马程序有:
/tmp/sance
/usr/bin/bsd-port/getty
对应的启动脚本:
/etc/rc.d/init.d/selinux
/etc/rc.d/init.d/DbSecuritySpt
被替换掉的系统命令:
/bin/netstat
/bin/ps
/usr/sbin/lsof
/usr/sbin/ss
清理木马时先删除相关文件,重新安装被替换的系统文件
yum reinstall net-tools
yum reinstall procps
yum reinstall lsof
yum reinstall iproute
ps 命令重新安装后找到相关的进程 kill -9 杀掉
getty 和 sance 肯定有,被替换的四个系统命令就看之前有没有执行过了