客戶用的是wdlinux， 難免會(huì)有漏洞，不知怎么就被莫名其妙地給入侵了，而且還頻繁發(fā)包。下面是我查看攻擊機(jī)器的整個(gè)過程。 首先跟客戶要了root密碼登錄看，第一個(gè)命令是就top -c：

排第一的竟然是route -n??,??這讓我有些懷疑，top 再看

變成了一個(gè)10位的無(wú)規(guī)律字符串

ls??-l /proc/pid??查到該進(jìn)程的老家（路徑）

刪除掉??/usr/bin/kkflyxxuqh

重復(fù)上面的步驟發(fā)現(xiàn)，問題依舊，它還會(huì)自動(dòng)生成：

只不過名字改了，又偽裝為linux命令 “id"

好頑固呀! 想到以命令??strace：

strace -tt -p 8832

發(fā)現(xiàn)可疑文件 ：??/lib/libgcc.so

刪掉： rm -f /lib/libgcc.so??竟然還會(huì)莫名其妙生成

所以，這還不是根源文件，因?yàn)橹貑⒎?wù)器后，問題依舊，所以懷疑是加入到系統(tǒng)服務(wù)列表了：

使用ntsysv把用不到的服務(wù)全部停掉：

竟然有大發(fā)現(xiàn)，這么多10位的隨機(jī)字符串服務(wù)，肯定是不合法的。全部禁掉。

然后去/etc/init.d/ 下刪除這些垃圾文件：

刪除之后，再重啟服務(wù)器，問題不再存在。 但為什么會(huì)有這些文件產(chǎn)生？還需要近一步探索。 要么是通過網(wǎng)站漏洞要么就是wdlinux的漏洞，還有一種可能那就是root密碼被破。 所以，要解決該問題，第一就得換掉wdlinux，自己手動(dòng)編譯安裝lamp環(huán)境。 第二要給網(wǎng)站做安全掃描和安全設(shè)置。第三，把root密碼改的非常非常復(fù)雜。

其實(shí) /lib/libgcc4.so 這個(gè)文件才是罪魁禍?zhǔn)祝?至于這個(gè)文件為什么會(huì)自動(dòng)生成，還需近一步排查。臨時(shí)可以先給/lib/目錄加個(gè) i 權(quán)限。暫時(shí)控制一下。