1.相关文章

http://news.drweb.com/show/?i=5801&lng=en

http://bbs.appstar.com.cn/thread-10205-1-1.html

http://blog.csdn.net/liukeforever/article/details/38560363

http://securelist.com/analysis/publications/64361/versatile-ddos-*-for-linux/

2.中毒现象

中毒机器大量向外发送数据包，导致机房网络出现严重丢包，

所有被感染的目录和文件：

/etc/init.d/selinux

/etc/init.d/DbSecuritySpt

/etc/rc[1-5].d/S99selinux

/etc/rc[1-5].d/S97DbSecuritySpt

/usr/bin/bsd-port

/tmp/gate.lod

/tmp/moni.lod

/usr/bin/dpkgd

/usr/bin/.sshd

tomcat主目录下conf.n和可运行文件lf

木马文件本身会生成多个拷贝，还有可能转移到其他目录，

确定是否为同一个文件拷贝的方法是计算文件的MD5值：

   md5sum  xxx.file

3.排查木马所用到的指令

ps 

lsof

netstat

(当然这些脚本本身已经被木马篡改，所以应该从其他地方下载未被感染的脚本)

strings

md5sum 

rpm -Va 

chattr +i

4.解决方法

首先需要做的就是断掉网络，如果是在生产环境中的机器不可断网的应该封掉

不必要的端口，仅留必要的端口（一般为80和22）。

然后尝试着查找木马信息，发现在/etc/init.d目录下多了DbSecuritySpt和selinux两个文件

打开文件可以看到木马可执行文件所在目录。

通过ps -ef 找到进程pid，然后利用 lsof -p 查看进程打开的所有文件信息，并尝试着杀掉进程

并删除这些打开的文件，但不出所料，文件删除后还会重新生成。

木马进程运行时会将其pid记录在/tmp/gates.lock文件中，因此尝试着修改该文件的属性：

chattr +i /tmp/gates.lock

然后再杀掉进程，删除相关文件，自此，木马进程不再启动。

但这毕竟只是暂时解决方案，木马自动生成的机制仍然无所知，暂时记录至此。