我的Linux病毒追踪记录

第一次自己一个人全权负责做游戏服务器，对于Linux安全并不太懂，所以就在昨天，服务器遭到了攻击，刚开始，只是发现服务器的带宽占满了，以为是带宽不够用，可是想想，弱联网游戏对带宽占用也不高啊而且带宽加大一倍也于事无补，在UCloud控制台看到带宽的波形图，好几次都达到顶峰，于是我在服务器用iftop查看了网络流量监控，发现服务器总往一个ip发送数据包，一发就是1G，这流量，不仅耗带宽，还烧钱啊，网上搜索后发现，服务器可能被攻击了，被黑客入侵当作肉鸡疯狂的发数据包，导致网络流量出口带宽瞬间占满，在不明白我如何被攻击以及如何根除的情况下，我只能首先封掉了这个ip的出入口，然后网络情况暂时稳定了，但我明白，问题并没有根除，但由于我还有其他事要做，暂时没管，还有一些功能等着我开发，昨天暂时也稳定了，然而今天有时间了，我就想办法彻底根除他，通过追踪，发现了病毒的位置，但是删不掉，因为他不仅加入了系统服务，而且定时执行脚本，检测病毒文件是否存在，不存在则创建，于是这个文件怎么删都删不掉，最后还是通过网上搜索，终于发现别人跟我一样的情况，最终得以根除。作为linux安全小白，这样的问题，我必须记录下来，并且记录下解决步骤，以备后患，linux安全确实仍是我的一片空白区，还要多多学习啊，很有可能是我的服务器密码设置过于简单，遭到黑客的暴力破解，或者是黑客利用bash漏洞植入病毒。 
以下是两篇当时搜到的有用的文章，感谢原文作者 http://www.apelearn.com/bbs/thread-7409-1-1.html http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html 
以下我的追踪以及根除步骤： 

1. 查看网络流量实时监控，发现服务器向一个ip发送大量大数据包，命令：iftop 
2. 即时封杀目的ip，命令：iptables –A OUTPUT –d “127.0.0.1” –j DROP（进口流量则是INPUT） 
3. 查看可疑进程，发现进程管理器中总出现一个随机十位字母的进程，kill掉会换个名字再次出现，命令：top / kill 
4. 通过pid揪出可疑进程的位置（其实已经确定是它了！），然后就能发现这个万恶的根源，命令：ls -l /proc/pid 
5. 删掉它，发现于事无补，真是顽固的病毒，于是用strace命令追踪打开的病毒文件，命令：strace –tt –p 端口号 
6. 通过追踪日志发现他打开一个libkill.so文件（不同情况可能名字不一样），删掉这个文件，发现还删不掉，会再自动生成 
7. 服务器重启也仍然存在问题，所以怀疑被加入了系统服务，于是关掉可疑系统服务（其实看名字就看出来，那些十位随机字母的服务都是病毒），命令：ntsysv 
8. 去系统服务下删掉垃圾文件，命令：cd /etc/init.d ，病毒文件全部rm掉 
9. 再重启服务器，问题没有了，但libkill.so文件依然存在，需要继续解决 
10. 经查，/etc/cron.hourly文件夹下有一个可疑的脚本文件kill.sh，打开一看，这就是自动生成libkill.so病毒的根源，删除这个脚本文件，再删除libkill.so。OK！问题解决！ 

此次经历让我意识到我Linux安全方面知识的空缺，linux平时的安全性没有得到保障，目前病毒已根除，服务器密码也改的异常复杂（我自己都记不住。。。）