个人Linux病毒追踪记录

第一次本身一我的全权负责作游戏服务器，对于Linux安全并不太懂，因此就在昨天，服务器遭到了攻击，刚开始，只是发现服务器的带宽占满了，觉得是带宽不够用，但是想一想，弱联网游戏对带宽占用也不高啊并且带宽加大一倍也于事无补，在UCloud控制台看到带宽的波形图，好几回都达到顶峰，因而我在服务器用iftop查看了网络流量监控，发现服务器总往一个ip发送数据包，一发就是1G，这流量，不只耗带宽，还烧钱啊，网上搜索后发现，服务器可能被攻击了，被黑客入侵看成肉鸡疯狂的发数据包，致使网络流量出口带宽瞬间占满，在不明白我如何被攻击以及如何根除的状况下，我只能首先封掉了这个ip的出入口，而后网络状况暂时稳定了，但我明白，问题并无根除，但因为我还有其余事要作，暂时没管，还有一些功能等着我开发，昨天暂时也稳定了，然而今天有时间了，我就想办法完全根除他，经过追踪，发现了病毒的位置，可是删不掉，由于他不只加入了系统服务，并且定时执行脚本，检测病毒文件是否存在，不存在则建立，因而这个文件怎么删都删不掉，最后仍是经过网上搜索，终于发现别人跟我同样的状况，最终得以根除。做为linux安全小白，这样的问题，我必须记录下来，而且记录下解决步骤，以备后患，linux安全确实还是个人一片空白区，还要多多学习啊，颇有多是个人服务器密码设置过于简单，遭到黑客的暴力破解，或者是黑客利用bash漏洞植入病毒。 
如下是两篇当时搜到的有用的文章，感谢原文做者 http://www.apelearn.com/bbs/thread-7409-1-1.html http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html 
如下个人追踪以及根除步骤： 

1. 查看网络流量实时监控，发现服务器向一个ip发送大量大数据包，命令：iftop 
2. 即时封杀目的ip，命令：iptables –A OUTPUT –d “127.0.0.1” –j DROP（进口流量则是INPUT） 
3. 查看可疑进程，发现进程管理器中总出现一个随机十位字母的进程，kill掉会换个名字再次出现，命令：top / kill 
4. 经过pid揪出可疑进程的位置（其实已经肯定是它了！），而后就能发现这个万恶的根源，命令：ls -l /proc/pid 
5. 删掉它，发现于事无补，真是顽固的病毒，因而用strace命令追踪打开的病毒文件，命令：strace –tt –p 端口号 
6. 经过追踪日志发现他打开一个libkill.so文件（不一样状况可能名字不同），删掉这个文件，发现还删不掉，会再自动生成 
7. 服务器重启也仍然存在问题，因此怀疑被加入了系统服务，因而关掉可疑系统服务（其实看名字就看出来，那些十位随机字母的服务都是病毒），命令：ntsysv 
8. 去系统服务下删掉垃圾文件，命令：cd /etc/init.d ，病毒文件所有rm掉 
9. 再重启服务器，问题没有了，但libkill.so文件依然存在，须要继续解决 
10. 经查，/etc/cron.hourly文件夹下有一个可疑的脚本文件kill.sh，打开一看，这就是自动生成libkill.so病毒的根源，删除这个脚本文件，再删除libkill.so。OK！问题解决！ 

这次经历让我意识到我Linux安全方面知识的空缺，linux平时的安全性没有获得保障，目前病毒已根除，服务器密码也改的异常复杂（我本身都记不住。。。）