服务器被攻击了，杀死那个进程会自动重启一个

meself_110

一台centos32位5.4版本的测试服务器，被攻击了。已经处理了一部分问题，还有一个问题：
在netstat 中可以看到总有一个连接到 43.228.235.201:2897 的tcp 连接，

[root@taixin sbin]# netstat -antp|grep 2897
tcp        0      0 xx.xx.xx.xx:34124         43.228.235.201:2897         ESTABLISHED 10625/whoami

用kill -9 杀死这个进程，里面又会重启一个
tcp        0      0xx.xx.xx.xx:34123         43.228.235.201:2897         ESTABLISHED 10587/sleep 1   

tcp        0      0 xx.xx.xx.xx:34122         43.228.235.201:2897         ESTABLISHED 10560/gnome-termina

43.228.235.201:2897         ESTABLISHED 10464/echo "find"
43.228.235.201:2897         ESTABLISHED 10401/who
43.228.235.201:2897         ESTABLISHED 10370/bash
43.228.235.201:2897         ESTABLISHED 10305/ifconfig
43.228.235.201:2897         ESTABLISHED 10263/netstat -anto

是我的内核被修改了吗？给我些建议，怎么处理下？

vagrant_1220

找到该通讯的调用进程，防火墙中禁掉该ip，分析入侵程序的关联关系，清除掉。（建议还是重装系统吧）。

action08

普通人不需要分析系统，浪费时间和精力
要么花钱找专家分析，要么老实装个最新的系统，要打补丁的

meself_110

vagrant_1220 发表于 2016-07-07 16:46
找到该通讯的调用进程，防火墙中禁掉该ip，分析入侵程序的关联关系，清除掉。（建议还是重装系统吧）。

发现问题的时候我已经切断外网了，所以禁不禁ip，影响到不大，主要是为了找出那些木马程序处理掉。

meself_110

回复 3# action08

没钱请专家啊，亲。自己动手，丰衣足食。是个测试系统，最后肯定重装，先拿来学习下，木马都是怎么写的。
   

meself_110

感谢各位的回复，问题现在貌似是已经处理了，木马的一个定时任务，我以为我处理了，结果没处理。在检查检查系统，如果没什么别的问题，我就重装了。

vagrant_1220

通常简单的入侵程序，出现a，b进程情况，a进程运行做坏事的任务，b进程监控a进程运行情况，一旦a异常， b会重新复制构建a。分析一下入侵进程， 使用到的权限级别，以及这个时间段服务器那些文件、服务、设置被修改了，判断出是通过哪个应用漏洞入侵。如果感兴趣，可以详细分析进程的运行关系。

cjfeii

可以根据端口找进程ID，然后根据进程ID找到可执行文件

sevenover

>$ ps axf
可以查看父子进程关系，以及命令路径，kill 它的父进程，删了它的可执行文件即可。