Linux木马pscan2查找与清除步骤

现象阐述

AH系统的现场程序分布式部署，配置文件的差异成为其独特标识。近期，唯独地市sz频频发生工单处理故障，而其他地市的运行一直稳定如常。

问题发现与排查

我们对sz的主机进行了深入检查。我们尝试重启应用，却发现应用的端口3456已被占用。通过`lsof -i:3456`命令，我们发现原来是用户tel的进程占用了该端口。进一步通过命令ps，我们惊讶地发现用户tel的进程数量异常之多。在我们的系统中，用户tel的身份似乎并不存在。

系统日志和性能数据展示了一个清晰的画面：CPU资源被某进程大量占用。通过命令输出，我们注意到用户tel的进程pscan2占用了高达100%的CPU资源。结合网络资料，我们确定pscan2是一个木马程序，其主要特征就是占用大量CPU资源。我们推断主机可能已被入侵，木马pscan被植入。

木马pscan2的搜寻

使用root账号尝试访问用户tel的目录时，我们发现了一个隐藏的目录，名字相当隐蔽，容易让人忽视。进入该目录后，我们确认了木马程序pscan2正是被植入于此。

木马的清除步骤

为了彻底清除这一威胁，我们采取了以下步骤：

1. 终止所有用户tel的相关进程，使用`pkill -9 -U tel`命令。

2. 删除用户tel，使用`userdel tel`命令。

3. 在尝试删除用户组时遇到阻碍，因为某些文件仍关联到该用户组。

4. 在检查passwd和group文件时，我们发现用户bossnm属于原本属于tel的用户组。在passwd文件中，bossnm用户的组ID为503。

5. 删除bossnm用户和tel用户组，并删除所有与木马相关的文件。使用`userdel bossnm`和`groupdel tel`命令完成操作。

经过上述处理，系统已经恢复了正常运作。