貌似中毒了, 请大神帮忙看看

[ccjeaty]

nethogs 看到网络流量有异常, program 多出来很多奇怪的程序名称. 但是由于主机的端口只开放了22, receive 一直都是0kb
刚接触linux也不是狠明白, 请大神指点!! 先谢过了.

[poloshiao]

全部來自 IP 192.168.136.232
是區網 IP
查一下 是哪一台區網網址 ?

如果你不清楚
使用已經預裝的防火牆 ufw (gufw) 把 192.168.136.232 列入 deny 名單 看看 有沒有改善
https://help.ubuntu.com/community/UFW

[taohunter]

全部來自 IP 192.168.136.232
是區網 IP
查一下 是哪一台區網網址 ?

如果你不清楚
使用已經預裝的防火牆 ufw (gufw) 把 192.168.136.232 列入 deny 名單 看看 有沒有改善
https://help.ubuntu.com/community/UFW

192.168.136.232应该是楼主本机的ip，别加到防火墙里！楼主似乎正在干什么bt之类的工作，建议ps -ef查一下进程，是否有什么bt客户端在后台运行。。。

[poloshiao]

192.168.136.232应该是楼主本机的ip，别加到防火墙里！

ufw 預設 只擋從外面進來本機的 不擋從本機出去外面的
所以把本機的 IP 寫上去 應該也不會有甚麼影響
只是把本機的 IP 寫上去 沒什麼意義

192.168.136.232 是不是你本機的
sudo ifconfig -a
可以看出來

[ccjeaty]

192.168.136.232应该是楼主本机的ip，别加到防火墙里！

ufw 預設 只擋從外面進來本機的 不擋從本機出去外面的
所以把本機的 IP 寫上去 應該也不會有甚麼影響
只是把本機的 IP 寫上去 沒什麼意義

192.168.136.232 是不是你本機的
sudo ifconfig -a
可以看出來

192.168.136.232 是本机ip,
但是感觉那个PROGRAM的名字很奇怪. 不知道是什么用户/程序启动的用.
一会儿会自动启动, 一会儿又消失了. 而且启动的进程很多, putty里面输入东西也会很卡. 有时会过几十s才会有反映.
这是不是中毒了啊?

[ccjeaty]

全部來自 IP 192.168.136.232
是區網 IP
查一下 是哪一台區網網址 ?

如果你不清楚
使用已經預裝的防火牆 ufw (gufw) 把 192.168.136.232 列入 deny 名單 看看 有沒有改善
https://help.ubuntu.com/community/UFW

192.168.136.232应该是楼主本机的ip，别加到防火墙里！楼主似乎正在干什么bt之类的工作，建议ps -ef查一下进程，是否有什么bt客户端在后台运行。。。

ps 貌似没看到有什么bt客户端在运行. 但是有一堆/tmp/.qz32进程, 正常的么?

[astolia]

/tmp/.qz3这个显然有问题

[susbarbatus]

传说中的肉鸡吗，长见识了…

[ccjeaty]

传说中的肉鸡吗，长见识了…

意思就是中木马了?
那怎么办呢?

[taohunter]

传说中的肉鸡吗，长见识了…

意思就是中木马了?
那怎么办呢?

先问楼主一句，你用的是ubuntu吗（看你的机器名好象是的）？如果是，请继续回答后面的问题：为什么你的ps -ef进程是root用户启动的（好象你全部用的都是root）？为什么要用root账号ssh到这台机器？还有原来的非root的登录账号吗？如果有，先用普通账号登录后再看一下是否还有这个现象。--永远都不要使用非必须的权限，ubuntu既然取消掉root登录，你就没有任何理由再去非搞个root来，不管你的机器是一台服务器还是一台家用pc！需要更高权限完全可以通过sudo或sudo su临时授权。

另外把你的那个tomcat以及jdk的进程停掉，再看看还有没有那些/tmp.qz32进程，我不用tomcat，没法帮你测试。但从PID来看，那些/tmp/.qz32的进程的父进程PID都是3893，而PID3893的父进程是PID3892这个进程，PID3892的父进程就是系统的第一个进程PID为1的/sbin/init进程了。所以你应该看一下/etc/init以及/etc/init.d下面有什么内容，用以下命令把这两个目录中的内容列出来看一下：

代码： 全选

ls -l /etc/init /etc/init.d

恕我直言，我的第一感觉不象是你中了什么木马，更象是不守规矩乱改系统导致的问题。我这么说是因为实在不知道楼主用root权限做了些什么，单看楼主对root的态度就不免有此疑问了。

[ccjeaty]

传说中的肉鸡吗，长见识了…

意思就是中木马了?
那怎么办呢?

先问楼主一句，你用的是ubuntu吗（看你的机器名好象是的）？如果是，请继续回答后面的问题：为什么你的ps -ef进程是root用户启动的（好象你全部用的都是root）？为什么要用root账号ssh到这台机器？还有原来的非root的登录账号吗？如果有，先用普通账号登录后再看一下是否还有这个现象。--永远都不要使用非必须的权限，ubuntu既然取消掉root登录，你就没有任何理由再去非搞个root来，不管你的机器是一台服务器还是一台家用pc！需要更高权限完全可以通过sudo或sudo su临时授权。

另外把你的那个tomcat以及jdk的进程停掉，再看看还有没有那些/tmp.qz32进程，我不用tomcat，没法帮你测试。但从PID来看，那些/tmp/.qz32的进程的父进程PID都是3893，而PID3893的父进程是PID3892这个进程，PID3892的父进程就是系统的第一个进程PID为1的/sbin/init进程了。所以你应该看一下/etc/init以及/etc/init.d下面有什么内容，用以下命令把这两个目录中的内容列出来看一下：

代码： 全选

ls -l /etc/init /etc/init.d

恕我直言，我的第一感觉不象是你中了什么木马，更象是不守规矩乱改系统导致的问题。我这么说是因为实在不知道楼主用root权限做了些什么，单看楼主对root的态度就不免有此疑问了。

多谢指定, 主要是刚接触linux 对权限什么的还不太明白.
系统是ubuntu12.04 LTS的 我用root也没有改什么系统的配置. 只是配置了下java的环境变量.
另外ls看到的结果

[taohunter]

看了楼主上面的图了，请楼主描述一下自己这台服务器上的应用程序的结构是如何搭建的，我的意思是tomcat、mysql等是否是配合在一起使用的。

另外，试过把tomcat和jdks进程停掉么？你前面的ps -ef列表里能够产生一大堆网络链接的应该就是这样的进程。我说了我这里没配置tomcat（也没有mysql和jdks），没法帮你测试是否是tomcat的某些配置带起的那些网络链接，你把tomcat、jdks这些进程停掉，过十几分钟再启动，同时观察nethogs的输出（观察要保持一段时间，不要¨只看一眼¨）就能看到结果了。你原先的nethogs的输出中的链接很象是负载均衡处理过的，没玩过tomcat，凭我的经验，这种apache的jsp软件应该有这种功能吧（如果说错了请无视）。所以才建议你停一下tomcat进程。先把结果告诉我一下。

先启动nethogs，再启动网络应用，你可以在nethogs看到带起那些¨？¨开头的网络链接的进程的名字。你现在看不到应该是链接太多，把进程名推到上面去了。。。

[susbarbatus]

既然这东西不是你主动起的，那直接 kill 掉好了，

代码： 全选

killall /tmp/.qz32

如果还在的话，

代码： 全选

killall -9 /tmp/.qz32

然后可以调查一下具体这是个什么东西

代码： 全选

file /tmp/.qz32

如果是文本（估计是二进制的）的话可以

代码： 全选

less /tmp/.qz32

查看内容。
确定是没必要的东西就删掉吧，查找一下启动相关的东西有没被更改（/etc/rc.local，/etc/profile 之类），
然后更改 root 密码（或直接禁用 root 登陆）及其他用户的密码、停掉不必要的服务、禁用不必要的端口等等。
不过反正道高一尺魔高一丈，安全方面的东西做不完的，方便的话重装最安全……

[susbarbatus]

看了楼主上面的图了，请楼主描述一下自己这台服务器上的应用程序的结构是如何搭建的，我的意思是tomcat、mysql等是否是配合在一起使用的。

另外，试过把tomcat和jdks进程停掉么？你前面的ps -ef列表里能够产生一大堆网络链接的应该就是这样的进程。我说了我这里没配置tomcat（也没有mysql和jdks），没法帮你测试是否是tomcat的某些配置带起的那些网络链接，你把tomcat、jdks这些进程停掉，过十几分钟再启动，同时观察nethogs的输出（观察要保持一段时间，不要¨只看一眼¨）就能看到结果了。你原先的nethogs的输出中的链接很象是负载均衡处理过的，没玩过tomcat，凭我的经验，这种apache的jsp软件应该有这种功能吧（如果说错了请无视）。所以才建议你停一下tomcat进程。先把结果告诉我一下。

先启动nethogs，再启动网络应用，你可以在nethogs看到带起那些¨？¨开头的网络链接的进程的名字。你现在看不到应该是链接太多，把进程名推到上面去了。。。

我觉得 tomcat/mysql 这种东西不太可能跑到 /tmp 下去建个可执行的隐藏文件，这种偷偷摸摸的方式比较像被黑了，
当然如果是楼主自己的应用这样的做的话那就另当别论了……

[taohunter]

看了楼主上面的图了，请楼主描述一下自己这台服务器上的应用程序的结构是如何搭建的，我的意思是tomcat、mysql等是否是配合在一起使用的。

另外，试过把tomcat和jdks进程停掉么？你前面的ps -ef列表里能够产生一大堆网络链接的应该就是这样的进程。我说了我这里没配置tomcat（也没有mysql和jdks），没法帮你测试是否是tomcat的某些配置带起的那些网络链接，你把tomcat、jdks这些进程停掉，过十几分钟再启动，同时观察nethogs的输出（观察要保持一段时间，不要¨只看一眼¨）就能看到结果了。你原先的nethogs的输出中的链接很象是负载均衡处理过的，没玩过tomcat，凭我的经验，这种apache的jsp软件应该有这种功能吧（如果说错了请无视）。所以才建议你停一下tomcat进程。先把结果告诉我一下。

先启动nethogs，再启动网络应用，你可以在nethogs看到带起那些¨？¨开头的网络链接的进程的名字。你现在看不到应该是链接太多，把进程名推到上面去了。。。

我觉得 tomcat/mysql 这种东西不太可能跑到 /tmp 下去建个可执行的隐藏文件，这种偷偷摸摸的方式比较像被黑了，
当然如果是楼主自己的应用这样的做的话那就另当别论了……

我也同意tomcat/mysqp在正常情况下应该不会产生/tmp/.qz32这样的进程，但现在楼主既然已经碰到了，那么根据ps -ef进程列表中的信息，似乎只有我提到的这些进程才能带起那么多而且负载还挺均衡的网络链接，所以才建议他停掉tomcat/mysql/jdks。理论上说java applet普遍有安全性bug的问题，被黑是完全有可能的。但即便是黑客入侵也要有个入口，我现在怀疑这个入口就是tomcat以及相关的jdks。当然正如前面对楼主指出的，楼主随意使用root权限很可能给别人更好地创造了黑进服务器的条件。相信楼主绝不只是用root配置了jdk，看楼主的习惯，估计一切都是root权限做的。在一个到处都是root权限构筑的环境里，一点被攻破的确完全有可能就出现这种怪现象。

你倒是提醒了我，应该看看/tmp/.qz32这个可执行文件到底里面是什么内容。楼主如果还抓的到数据，就把/tmp/.qz32这个文件传上来，是人是鬼也许看一眼里面的代码就知道了。。。