各位大神，本人台式机 Ubuntu 12.04 大概在去年中下旬 中的木马 （我很后面才发现中了木马）

主要表现为：

1.系统启动之后就会有一个进程，进程的可执行程序 在 /boot/中（名字是一串无规律字符） 且父进程 是 init

2.用 sudo kill pid 这个进程之后，原来的/boot/ 下的文件会被删除，然后又产生一个新的可执行文件 继续执行（直接删除可执行文件的结果也是一样的）

3. 这个进程干的事 好像就是 一直连着某些IP 发各种 命令 （于是 用系统监视器查看的时候 上传网络速度 一直是 10M/s）

4. 这个进程好像 还会产生一堆其他的进程（不是很确定这一点，因为这些进程通常都是一闪而过，没法确定）

我现在 用 kill -STOP pid 暂时能够让这个进程发送数据的行为停下来，
但是每次开机的时候都得这么做一遍 很麻烦，而且有时候一个不小心就忘了，然后这样的上传有时候会把我们办公室的网速给拖累了，所以请求大家帮助，有没有不重装系统的办法，因为电脑中有很多数据还没处理完，而且装了很多软件 不太想重装系统，想尽量在不重装的情况下 把这个事情给解决一下。谢谢大家！

补充：
在/etc/init.d/ 下 会有这样内容的脚本：

先检查启动脚本看看？

能详细说下怎么查不？ 谢谢～～ 很多东西我都不太懂，上面那些东西 是我和这个木马周旋了 好几个月 慢慢摸索出来的

已经贴了一个 启动脚本的 代码 不知道是不是这个

/etc/init.d
/etc/init
两个目录下面的脚本看看有没有可疑的，把可疑的去掉执行属性重启看看

先打开终端，看看有没有可疑文件，以及文件修改日期和大小，和另一台机器的正常文件比对下（如果有）
还有，看下/etc/rc.local里面的内容 ~/.bashrc里面的内容

http://bbs.chinaunix.net/thread-4144495-1-1.html

论坛里有人发过的，给你参考下

重启之后，原来被去掉可执行属性的文件还在，但是会在 /etc/init.d/ 下产生一个新的可执行文件 同时 在/boot/ 下也出现一个有可执行属性的同名文件，开始往外发数据，/etc/init.d/ 下的文件的内容 就是 我补充在1楼最后的那个代码，/boot/里的是一个二进制文件

谢谢你，但是这个网址里面的内容太简略了，和我这个情况是有点像，但是这个上面讲的好简单 都不知道他是怎么弄的T T

如果是 Ubuntu 14.10
可以試試 systemd
看看 還有沒有這個問題
因為它開機啟動的不是 /etc/init
https://wiki.ubuntu.com/systemd
https://wiki.ubuntu.com/SystemdForUpstartUsers

有没有办法 替换我现在的 /sbin/init 程序？
比如 我自己编译了一个 upstart 但是我看了下 init程序的大小不一样 不敢替换，而且 upstart的默认安装位置是在 /usr/local

viewtopic.php?p=3121961#p3121961
Ubuntu 15.04 已做好準備 同時包含 Systemd 及 Upstart 開機啟動機制
可能 Ubuntu 15.10 / 16.04 就預設 systemd 為開機第一個載入的初始化機制
試試 systemd 只是提早體驗 如果有效 分享一下 造福大家
(因為 Ubuntu 14.10 的套件庫裡的 systemd 還不完整 所以從 PPA 另外安裝)
補充
這個方法只能算是我的大膽假設
是否小心求證 請你斟酌

mark 一下。

我前几天刚中过这个sfewfesfs。。。。

这个东西中的方法是

1. root有ssh登录权限
2. root密码过简单
3. ssh的端口是22

于是黑客就从22端口暴力试密码把你干掉了。。。。

要说解决嘛。。。

1. 把root的ssh权限去了
2. root密码改了，并把ssh key去了
3. 把ssh的端口从22改成别的