清除Suckit rootkit

一台Redhat 7.3 Server上在目录下ls找不到当前目录下的*.sh文件， 但ls单个文件例如ls httpd.sh则可以知道httpd.sh还是存在的。


用chkrootkit检查是中了Suckit rootkit ,    搜索sk， 找到在/usr/local/games/sk/ 下面。


cd /usr/local/games/sk/

./sk u

然后下载SysVinit-2.84-2.i386.rpm (在这里找到下载：http://redhat.dulug.duke.edu/pub/redhat/linux/7.3/en/os/i386/RedHat/RPMS/SysVinit-2.84-2.i386.rpm)

从中解出init,  用它覆盖/sbin/init,  重启Server.


last | head -n7 查看到以下记录：


ftp      ftpd7743     162.105.146.202  Wed Aug  9 10:16 - 10:16  (00:00)
ftp      ftpd6184     162.105.146.23   Wed Aug  9 10:15 - 10:15  (00:00)
于是vi /etc/hosts.deny   在其中加入：


all:162.105.146.

然后# /etc/rc.d/init.d/xinetd restart

# /etc/rc.d/init.d/network restart