造成RHEL 5.3 网络流量异常高的奇怪程序
最近遇到一个问题,有1台服务器,系统为RHEL 5.3 x64,发现一个奇怪的脚本程序,会自动运行并产成巨大的网络数据包,造成交换机阻塞。
程序会自动改名,文件隐藏在/lib/libc-2.5.so.6/目录下,主要有 ip,list,spooltest,do-xf,do-xf3,nsdap,nsdap3等文件,系统进程里有nsdaps程序,把程序杀死后,网络正常。但是过了1周,程序又自动生成,并把do-*文件自动改名do-reflect,do-reflect3,nsdap-*文件改名成nsdaps和nsdaps3,系统进程出现nsdaps程序,杀死后,网络正常。
网上查过/lib/libc-2.5.so.6/目录和文件根本就不存在,应该是奇怪脚本模仿生成的。现在把这个目录删除了,不知道什么时候会再出现问题。
哪位高手遇到过这个问题,一起交流一下。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
首先查下日志,然后在/lib/libc-2.5.so.6目录下,查看隐藏文件,估计是被什么脚本调用,最好使用grep -v去过滤下!
希望你帖出更详细的情况
感觉应该是被入侵了。查看一下日志记录,history 等。
另外看一下这些文件目录的信息,包括owner 和属组。
楼主的机器是不是被黑了