【应急响应】Linux应急记录20170111

看到异常进程里面有:
/usr/bin/.sshd
[kworker95]
开机启动:

/tmp下的异常文件

异常的网络连接

使用lsof的时候发现返回内容不正常,查看下lsof

mtime为10:46,并且大小不正常,很明显命令被替换了。
看下/usr/bin/下

/use/sbin下

然后检查了cron、rc3等没有发现异常。

处理过程:

[root@localhost tmp]# chmod 000 conf.n moni.lod gates.lod \[kworker95\] /usr/bin/.sshd
[root@localhost tmp]# chattr +i /tmp /usr/bin /usr/sbin

删除rc.local中的异常内容,并重启服务器。

[root@localhost tmp]# chattr -i /tmp /usr/bin /usr/sbin
[root@localhost tmp]# rm -f conf.n moni.lod gates.lod \[kworker95\] /usr/bin/.sshd

然后从其他机器拷贝lsof和ss替换。