linux centos 5.6有人安装了irc

Question

我需要一些帮助，我的服务器提供商联系我，告诉我我的服务器正在使用200 my /S带宽。经过调查，我发现了一个不应该存在的用户的进程。我发现过程如下：

 26269  511     Nov27   ./stealth 58.22.68.253 53
 775    511     Oct12   ./eggdrop -m botnick.conf

我知道“茄子”是IRC，我的问题是，在哪里可以找到这些程序的软件安装位置？

Answer 1

你已经妥协了。当然，你可以扼杀这些过程。

从运行/sbin/lsof | grep eggdrop和/sbin/lsof | grep stealth开始。

您应该能够看到从该输出到可执行文件的完整路径。这将为您在确定安装机器人的目录方面提供一个起点。

从这一点上终止进程，然后继续运行一个标准的rootkit检测程序(rkhunter或克罗泰特)。

如果你有后援，那是个好去处。但如果没有，则需要确定您是如何被破坏的，并确保没有任何东西会重新触发恶意应用程序(rc脚本、crontab等)。

请看下面的帖子，这些帖子针对的是受损的系统：

确认有嫌疑的黑客的程序？(Linux)

我如何知道我的Linux服务器是否遭到黑客攻击？

linux被黑客入侵后进行法医分析的主要步骤是什么？