Linux服务器有问题。大量带宽被耗尽。

arbor

本服务器主要做web、mail、ftp应用，用户不多，负担很轻。有时发现上网有问题，发现这个服务器的流量特别大，执行top -c的结果有很多行这个……

1.   PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
   
2. 31923 apache     9   0   388  384   316 S     0.0  0.1   0:00 /tmp/bfqibkrdv x
   
3. 32552 apache     9   0   392  388   320 S     0.0  0.1   0:00 /tmp/bfqibkrdv x
   
4.   399 apache     9   0   384  380   316 S     0.0  0.1   0:00 /tmp/bfqibkrdv x
   
5.   649 apache     9   0   384  380   316 S     0.0  0.1   0:00 /tmp/bfqibkrdv x
   
6.   947 apache     9   0   400  392   328 S     0.0  0.1   0:00 /tmp/bfqibkrdv x

复制代码

但是执行 ls /tmp -al又看不到bfqibkrdv，如果top命令后面没有c参数，显示的command为一个数字3。手工把这些进程一个一个kill了就好了。这两天老是有这个东西，讨厌死了。

ayazero

cp /proc/399/exe /tmp/399.bak

file 399.bak

strace ./399.bak
strings ./399.bak >; printable

ayazero

ps -ef看PPID或者pstree看看其父进程是否是httpd

www_ftp

linux系统不同于windows。windows文件如果被执行，系统保护这个文件不被删除，linux不同，可以删除的。有可能是这样的，他把这个文件放到了别的地方，文件名不一定叫这个名，随系统启动临时复制到/temp/下运行，然后把/temp的文件删除。

arbor

我执行ifconfig命令，发现eth0的TX值可能又重新开始计算了，刚才是数百MB，现在是50多MB，会是什么原因？

现在有5、6个这种进程，整个网络的速度也还好，

[root@mail forum]# ls /proc/399/ -al
total 0
dr-xr-xr-x    3 apache   apache          0 Sep 21 14:38 .
dr-xr-xr-x  111 root     root            0 Sep 17 18:42 ..
-r--r--r--    1 apache   apache          0 Sep 21 14:38 cmdline
-r--r--r--    1 apache   apache          0 Sep 21 14:38 cpu
lrwxrwxrwx    1 apache   apache          0 Sep 21 14:38 cwd ->; /
-r--------    1 apache   apache          0 Sep 21 14:38 environ
lrwxrwxrwx    1 apache   apache          0 Sep 21 14:38 exe ->; /tmp/upxBZO0YL1AAMO (deleted)
dr-x------    2 apache   apache          0 Sep 21 14:38 fd
-r--r--r--    1 apache   apache          0 Sep 21 14:38 maps

[root@mail forum]# ps -ef
UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 Sep17 ?        00:00:07 init
root         2     1  0 Sep17 ?        00:00:00 [keventd]
root         3     1  0 Sep17 ?        00:00:00 [ksoftirqd_CPU0]
root         4     1  0 Sep17 ?        00:00:00 [ksoftirqd_CPU1]
root         5     1  0 Sep17 ?        00:00:32 [kswapd]
apache   32478  1127  0 10:37 ?        00:00:03 /usr/sbin/httpd
apache   32552     1  0 10:43 ?        00:00:00 /tmp/bfqibkrdv x
apache   32651  1127  0 11:09 ?        00:00:03 /usr/sbin/httpd
apache     399     1  0 11:43 ?        00:00:00 /tmp/bfqibkrdv x
apache     459  1127  0 11:58 ?        00:00:01 /usr/sbin/httpd
apache     621  1127  0 12:34 ?        00:00:01 /usr/sbin/httpd
apache     649     1  0 12:43 ?        00:00:00 /tmp/bfqibkrdv x

ayazero

删除了command字段也不会变的

strcpy(argv[0],"/tmp/bfqibkrdv";
这样才会

ayazero

把那个exe cp出来，中php蠕虫了吧

arbor

[quote]原帖由 "ayazero"]把那个exe cp出来，中php蠕虫了吧[/quote 发表：


lrwxrwxrwx    1 apache   apache          0 Sep 21 14:38 exe ->; /tmp/upxBZO0YL1AAMO (deleted) 这个吗？不是被删除了吗？不是我删的，系统这样显示的。

我已经把那几个进程kill了，找不到了   

前几天有个朋友说可能是PhpBB的highlight漏洞，查了viewtopic.php里面highlight的部分已经修改了，我的phpBB现在是最新版本了。

ayazero

那个时程序运行时自动删除的，可以考出来

cp /proc/`ps -ef | grep upxBZO0YL1AAMO | grep -v grep | awk '{print $2}'`/exe /tmp/evil.bak

然后再用file,ldd,ltrace,nm,strings,strace,objdump,gdb分析

arbor

[root@mail root]# ls /proc/2079/ -al
total 0
dr-xr-xr-x    3 apache   apache          0 Sep 21 21:31 .
dr-xr-xr-x  112 root     root            0 Sep 17 18:42 ..
-r--r--r--    1 apache   apache          0 Sep 21 21:31 cmdline
-r--r--r--    1 apache   apache          0 Sep 21 21:31 cpu
lrwxrwxrwx    1 apache   apache          0 Sep 21 21:31 cwd ->; /
-r--------    1 apache   apache          0 Sep 21 21:31 environ
lrwxrwxrwx    1 apache   apache          0 Sep 21 21:31 exe ->; /tmp/upxB4LXKF1ACA4 (deleted)
dr-x------    2 apache   apache          0 Sep 21 21:31 fd
-r--r--r--    1 apache   apache          0 Sep 21 21:31 maps
-rw-------    1 apache   apache          0 Sep 21 21:31 mem
-r--r--r--    1 apache   apache          0 Sep 21 21:31 mounts
lrwxrwxrwx    1 apache   apache          0 Sep 21 21:31 root ->; /
-r--r--r--    1 apache   apache          0 Sep 21 21:31 stat
-r--r--r--    1 apache   apache          0 Sep 21 21:31 statm
-r--r--r--    1 apache   apache          0 Sep 21 21:31 status
[root@mail root]# cp /proc/`ps -ef | grep upxB4LXKF1ACA4 | grep -v grep | awk '{print $2}'`/exe /tmp/evil.bak
cp: cannot stat `/proc//exe': No such file or directory
[root@mail root]# cp /proc/2079/exe /tmp/evil.bak

现在看到这个文件了，用less可以看到一些东西，但是更多的是看不懂的乱码，能否麻烦版主大人帮我看看啊？我如何给你？谢谢！

我通过ftp下载到本地，还没有从ftp里面退出呢，下载的那个文件立刻被Norton 2005发现并杀掉，病毒信息：
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.bot.html
可是这里面说的并没有感染Linux系统啊？奇怪……