公司一套hadoop叢集，裝的CDH CM，被掛馬了，動不動就特別卡，流量佔用特別高。當初為了方便，裸在公網上了。而且密碼還簡單，這下是血的教訓了。雖然上面已經同意了全部重灌了，但是本屌有點不甘心，想了解該病毒的老窩在哪。下面會一些資訊，分享給大家。

問題現象，linux服務網路特別卡，幾乎無法工作。

特徵

CPU爆滿，並發現可疑程式。但是奇怪的是，CPU佔用滿了，卻沒在top命令裡 htop命令裡看到CPU佔用高的程序，難道是隱藏了？

發現可疑路徑

在TMP目錄發現可疑檔案

在網上找了些，這裡說一下，網上流轉的幾篇文章，總共就2篇，一個說是刪除這些檔案，並且修改目錄許可權，然後再重新安裝一些包，升級一些包。

我首先嚐試了刪除的這些操作。

刪除檔案，刪除程序

然後執行一下ps，他又出現了，我也是艹了個DJ的。

然後我並找到ps命令，找了幾臺正常伺服器來進行對比

使用stat命令來檔案的操作時間。

想了想，一個正常的檔案為什麼最後一次的修改時間就是現在呢？懷疑可能是該檔案被個程式替換了。

通過netstat命令，發現這可疑程序與一個不認識的IP有連線

IP地址為 110.80.141.212 埠25000

嘗試把那個PS命令刪除掉，從別的地方拷貝一個過來。明顯的發現ps命令的大小不對。看來是這個檔案裡面可定有鬼。

操作完後，重啟作業系統之前，我自己建立了一個這樣的目錄，設定一個極低的許可權。看看重啟後是什麼效果

結果，重啟後還是一樣，暫時是沒辦法了。看了下 /bin 目錄，很明顯的發現ps命令netstat命令的大小有點不正常。看來是我一執行了ps、netstat命令就相當於是幫他啟動了木馬程式了。而且我刪除了還沒有，看來是他還有個守護程序，NND。

然後網上的第二篇文章說的是，找到在卡的時候，資源佔用高的程序，然後再順藤摸瓜。先寫到這裡，我去研究研究怎麼順藤摸瓜。

如果有碰到同樣問題的，可以聯絡我。