一次linux删除文件后又自动生成就是中***的状况的解决过程

公司的内网某台linux服务器流量莫名其妙的剧增,用iftop查看有链接外网的状况。针对这种状况通常重点查看netstat链接的外网ip和端口。

用lsof -p pid能够查看到具体是那些进程，哪些文件。经查勘发现/root下有相关的配置conf.n hhe两个可疑文件，rm -rf后不到一分钟就自动生成了，由此推断是某个母进程产生的这些文件。因此找到母进程就是找到罪魁祸首。

查杀病毒最好断掉外网访问，还好是内网服务器，能够经过内网访问。断了内网，病毒就失去外联的能力，杀掉它就容易的多。怎么找到呢，找了半天也没有看到蛛丝马迹，没办法只有ps axu一个个排查，方法是查看能够的用户和和系统类似而又不是的冒牌货，果真，看到了以下进程可疑。

看不到图片就是/usr/bin/.sshd

因而我杀掉全部.sshd相关的进程，而后直接删掉.sshd这个可执行文件。而后才删掉了文章开头提到的自动复活的文件。

总结一下，遇到这种问题，若是不是太严重，尽可能不要重装系统，通常就是先断外网，而后利用iftop,ps,netstat,chattr,lsof,pstree这些工具顺藤摸瓜，通常都能找到元凶。可是若是遇到诸如此类的问题，

/boot/efi/EFI/redhat/grub.efi: Heuristics.Broken.Executable FOUND

我的以为就要重装系统了。

这篇文章只是解决问题的一种思路，仅仅做为参考，并不是绝对。