第一次身处黑客入侵的事故现场
我们折腾了一番,终于看到了嫌疑犯。使用
top命令,看到当前运行的进程中,有一个很可疑的进程,叫做sbin。为什么觉得它很可疑呢?原因有三:- 这个进程占有大量的内存和CPU,如果不是第一,那也是前三。
- 这个进程不能用
ps显示出来,只能通过top才看得到。 sbin不应该是文件夹的名字么?什么时候变成可执行文件了……这也太明显了!
毫无疑问,服务器被入侵了。
sbin作为嫌疑犯,自然遭到了我们的“亲切拜访”。which sbin定位sbin的位置,好,找到了:/var/cache/sbin。
原来
var文件夹存储的是临时的变量,不过下面的cache文件夹作用不大,删了也没多大关系。这时我们又注意到,除了sbin之外,我们还看到其他知名可执行文件,比如man,ps等等。这下终于明白为什么ps没法找到sbin进程了。查一下PATH变量,果不其然。ls -al一下(当然这里开始就使用绝对路径来调用命令了,还测试了几个知名命令,确认没有更多的冒牌货潜伏其中),看看具体信息,这几个文件都是在几个月前的两分钟内放进来的。
接下来就差证据了。查了一下,发现
netstat命令有一个-p参数可以显示某个进程的网络连接情况。于是netstat -p | grep sbin,我们看到了令人震惊的真相……