linux被人种木马了

chkrootkit和rkhunter都查实了此机中了木马，我不要重装系统，唯有一个个文件还原。（有另一台机的文件可以拷过去）

lsattr - list file attributes on a Linux second extended file system

显示文件属性

要清除i(不可修改)属性才能对文件进行操作。 

[root@GPSMCC bin]# lsattr ps
suS-iadAc---- ps
[root@GPSMCC bin]# chattr -suSadAci ps
[root@GPSMCC bin]# chown root:root ps

然后进行文件覆盖。

 

感觉ssh的文件有点问题，装了个新版本的上去。装之前还要先更新zlib和openssl的版本。

 

发现/etc/rc.d/rc.sysinit 文件最下面加了一句

# Xntps (NTPv3 daemon) startup..
/usr/sbin/xntps -q
查了一下，这句是 shv4 rootkit 加上去的，删掉

顺便把这个xntps也删掉

 

然后看到/etc/rc.d里面的另一个文件rc.local也有点怪异

/usr/...../bin/snmp_proxy
/usr/...../bin/rcp_core

多了两句这样的东西，估计是HACKER拷上来的文件。

 

再根据rkhunter显示的结果，删掉一些HACKER拷上来的文件（与另一台机的系统对比）