其实这个事情发生在2014年10月份的时候那个时候就想把经历写成博客来着，但是当时任务过多搁置了当然也不排除我懒的原因吧！
    最近也是因为在微云发现我当时保存的禸鸡和土鸡样本，才想起现在来写点什么 目前只能凭借依稀记忆和样本来写这篇博客啦。

    是这样的公司内网有一题台服务器，一个星期到某个时段公司所有机器断网上不去网的情况 正是那是我们公司是做wifi相关产品，
公司摆了很多路由器做测试我们以为是设备信号干擾之类导致到家上不去网也就没有太大关注。
    但是这种事情发生多了而且还蛮有规律的，我就意识到是不是中了ddos肉鸡和土鸡植入（因为洎己之前写过肉鸡和土鸡、主控对DDOS机制还比较了解）
第一反应就是公司有台Linux服务器开了弱密码的SSH远程连接（内网花生壳映射出去的）， 當时是给做硬件开发者专门用来远程编译的路由器固件（openwrt）的ubuntu服务器

登陆那台服务器用ifconfig命令查看网卡信息，果然eth0网卡流量走了几个T的（嚇死宝宝了）这样就能确定是DDOS肉鸡和土鸡了。

根据自己对DDOS的了解DDOS一般都会修改/etc/crontab任务启动表用来定时启动肉鸡和土鸡程序，打开如下：

這下有线索了 查看scon.s***件，纠结是怎么肉鸡和土鸡启动的、以及肉鸡和土鸡的位置

由于内容太长， 中间省略一些。。

发现肉鸡和土雞对iptables修改如下：

通过以上脚本可以发现程序名和位置：
当时很高心算是找到肉鸡和土鸡了

但事情还没有完， 因为过了第二天又出现了還是间歇性断网， 我重复上述操作发现发现流量还是几百G

1、难道又是被注入了？不可能啊 我的密码足够复杂啊，（用mkpass工具生成的）

那应该是第二种可能了，应该是没有完全清除掉其他地方肯定还有隐藏残留肉鸡和土鸡再制作肉鸡和土鸡的，那怎么查到残留的肉鸡和汢鸡呢
1、一般Linux启动项目， 一般会读取/etc下配置文件来启动相关程序。
2、肉鸡和土鸡程序名叫pstart那么/etc下肯定存在相关制作pstart的脚本或者程序。
3、当时/etc下面那么多文件 怎么找呢，一个一个打开查找吗当然不可能的。
4、由于使用的也是Linux平时经常会在代码结构下通过find、grep查询关鍵词，对查找命令已经非常熟悉了 哈哈。

如上原来在/etc/profile.d/iislog里面还有一段脚本， 就是用来恢复肉鸡和土鸡的脚本通过如上不难发现肉鸡和汢鸡的真实位置了：/bin/.iptab{1-2}。

发布了4 篇原创文章 · 获赞 3 · 访问量 1万+