恶意程序入侵 dbuspm-session 发现了新的方法制这种恶意程序

直接从一台没服务器上把这两文件scp到当前的服务器上并替换这两个程序就ok了！！！！这种方法测试成功！！！！

出现了一个比效麻烦的事，服务器的负载正常，内存也正常，但就是很卡。

通过查找到线索：http://mt.sohu.com/it/d20170125/125107886_487514.shtml

有恶意进程入侵，处理过程中，怀疑系统文件被替换：

通过对比訪机器与正常机器上面的ps,netstat等程充的大小发现敏感程序已经被替换

正常机器

du -sh /bin/ps

92k /bin/ps

du -sh /bin/netstat

120k /bin/netstat

被入侵机器：

du -sh /bin/netstat

2.0M /bin/ps

du -sh /bin/ps

2.0M /bin/ps

解决的方法是先卸载掉生成netstat ps 这两条命的包：

# rpm -qf /bin/ps
procps-3.2.8-36.el6.x86_64
# rpm -e --nodeps procps
#yum install  -y procps
# rpm -qf /bin/netstat
net-tools-1.60-110.el6_2.x86_64
#rpm -e net-tools --nodeps
这样就把恶意程序删掉了