我通过Wisdom SSH连接到服务器后,发现网络流量异常巨大,于是开始排查是哪些端口在消耗带宽。
我提出:"查看下那个端口流量大"。AI助手首先检查了系统是否安装了iftop、nethogs等专用流量监控工具,发现都没有。它转而读取/proc/net/dev获取网卡级别的流量统计,同时用ss -tlnp查看监听端口。从网卡数据看,em1网卡发送字节数高达124215410148(约124GB),明显常。
我接着要求:"关闭大流量端口,提取出来放进防火墙屏蔽"。AI助手通过两次间隔3秒读取/proc/net/dev计算实时速率,发现em1发送速率达2150 Mbps,非常惊人。它用ss -tn统计各端口连接数,发现端口***(vos3000进程)有26个连接、端口有9个连接、端口 有5个连接。进一步查看Send-Q积压情况,发现22端口SSH有多个连接积压严重(Send-Q达1940、520等)。查看外部连接时,发现3个可疑外部IP:、***。
我决定:"先把流量降下来,再处理***、***、这三个IP"。同时我要求"更改ssh端口为",因为22端口正被外部大量连接消耗带宽。
AI助手编辑了/etc/ssh/sshd_config,将#Port 22改为Port ***,然后修改iptables配置文件/etc/sysconfig/iptables,把原来DROP端口改为ACCEPT。重启sshd后,SSH成功在端口监听。我通过Wisdom SSH重新连接到新端口。
接着处理那3个可疑IP。AI助手用ss -tn确认了它们当前的连接状态:***处于LAST-ACK(SSH旧连接残留),***处于SYN-SENT(正在尝试连接2070端口),***有一个ESTABLISHED连接,进程是kswpad(PID 2391)。它直接用iptables命令将3个IP加入INPUT链DROP:iptables -I INPUT -s *** -j DROP,三条命令执行后,再次计算em1发送速率,已从2150 Mbps骤降到28 Kbps,流量成功降下来。
我追问:"查看kswpad是不是还存在"。AI助手检查发现进程PID 2391仍在运行,CPU占用21%,已运行约2小时20分钟。它详细分析了这个进程:/etc/kswpad是一个32位静态编译的ELF文件,大小1.2MB,以root身份运行,父进程是init(1)。进程打开了/tmp/gates.lod文件(内容就是的PID 2391),网络连接指向***😗**。用strings提取二进制中的字符串,发现大量DNS服务器IP、TcpAttack、ShellCmd、MiniHttpReq等功能模块名称,以及echo "*/1 * * * * root /.mod " >> /etc/crontab这个持久化命令,确认这是一个恶意后门程序。
我选择"直接结束进程+删除文件"。AI助手执行kill -9 2391 && rm -f /etc/kswpad /tmp/gates.lod,但进程立刻被重新拉起(新PID 5133,文件也被重新创建。这说明有守护机制。
AI助手检查crontab,在/etc/crontab中发现了一条每分钟执行的恶意任务:*/1 * * * * root /.mod。而/.mod脚本内容就是执行/usr/lib/libgdi.so.0.8.2。这个libgdi.so.0.8.2是一个Go编译的64位静态链接ELF文件,伪装成库文件,内置了写入crontab的持久化逻辑。
最终AI助手一次性执行了完整清理:kill -9 5133杀掉新进程,删除/etc/kswpad、/tmp/gates.lod、/.mod、/usr/lib/libgdi.so.0.8.2四个恶意文件,并用sed -i '/\/\.mod/d' /etc/crontab移除crontab中的恶意条目。验证确认进程已不存在,所有文件已删除,crontab已清理干净。
整个恶意软件链条被完整还原:libgdi.so.0.8.2写入crontab持久化 → crontab每分钟执行/.mod → /.mod启动/etc/kswpad → kswpad接C2服务器***😗**。通过Wisdom SSH的AI辅助,从发现流量异常到完整清除后门,整个过程高效完成。