我的服务器 是不是遭遇攻击了？

Question

1728 nobody     9   0  3368 3368  1772 S     0.1  0.1   0:00 perl
1749 nobody     9   0  3344 3344  1772 S     0.1  0.1   0:00 perl
2258 nobody     9   0  3380 3380  1788 S     0.1  0.1   0:00 perl
2566 nobody     9   0  3384 3384  1772 S     0.1  0.1   0:00 perl
2938 nobody     9   0  3372 3372  1772 S     0.1  0.1   0:00 perl
3092 nobody     9   0  3356 3356  1772 S     0.1  0.1   0:00 perl
3655 nobody     9   0  3292 3292  1772 S     0.1  0.1   0:00 perl
3765 nobody     9   0  3336 3336  1768 S     0.1  0.1   0:00 perl
3772 nobody     9   0  3276 3276  1768 S     0.1  0.1   0:00 perl
3808 nobody     9   0  3272 3272  1768 S     0.1  0.1   0:00 perl
3824 nobody     9   0  1580 1580  1300 S     0.1  0.0   0:00 wget
3829 nobody     9   0  1576 1576  1300 S     0.1  0.0   0:00 wget

怎么那么多PERL命令呀？
我用netstat -an
看到了一个美国的IP地址，好像很多连接，我通过
iptables -I INPUT -s 12.34.56.78 -j DROP 后重新启动机器后，怎么还是有那个IP？

并且一到晚上8点钟以后，内存很快被吃完，重新启动机器后，你可以看到内存使用率
直线上升，不到一个小时1G的内存就用完了，其实正常的时候访问量也不大，每天不到1000
人访问，2G的空间够用的了。
是不是遭攻击了？

Answer 1

有一个免费的防病毒软件SpamAssassin
这是它的官方网址：http://savannah.nongnu.org/projects/spamass-milt/

Answer 2

期待

Answer 3

原帖由 bingosek 于 2006-6-10 19:25 发表
查查程序是什么时候在哪里加载的

有成熟的免费LINUX杀毒软件吗？
请提供信息，谢谢

Answer 4

我想
如果先把perl和wget删掉或重命名，先禁止病毒运行呢？

Answer 5

查查程序是什么时候在哪里加载的

Answer 6

不要沉底呀

Answer 7

听说有一种LINUX病毒，叫Linux.Slapper.Worm ，有拥类似的表现：
启动APACHE时，出现make_sock: could not bind to address 0.0.0.0xx no listening
(奇怪的是，病毒发作之前，APACHE启动运行都是正常的)

找到相关的资料，说这种病毒：
它通过openssl的缓冲区溢出漏洞工作，先对80口用一个无聊的GET扫描B类网段，发现来自apache的回应后就对443口(https)进行缓冲区溢出攻击，并以apache的身份下载其源文件，用系统自带的gcc来编译运行并且在文件系统里到处找可写的目录去复制自己 ：－（ 除了运行时占很多资源和给cinik_worm@yahoo.com 发系统资料，还会开udp口接收指令，对其它机器进行dos攻击什么的...

我的WEB服务器也正是这种情况，启动出现上面的问题，并且内存很快被吃完，接着就死机
有很多的PERL命令在运行，用netstat -an也看到了很多的莫名其妙的东西，比如mysql.sock一大串

如果真的遇到病毒了，我该怎么办呢？