[求助]我的机器是不是被黑了？

darkhuang

今天发现有几个服务死掉了。用ps出现下面的错误信息：
ps: error while loading shared libraries: libproc.so.2.0.6: cannot open shared object file: No such file or directory
/lib目录下面是libproc.so.2.0.11，和一个libproc.so--〉libproc.so.2.0.6

接下来发现一些执行文件被替换了。比如/usr/sbin/lsof：
-rwxr-xr-x   1 liujiong liujiong    82628 Jan 24  2003 /usr/sbin/lsof
都是普通用户liujiong而不是root。类似这样的文件还有ls,dir,syslogd等等。

日志messages大小为0，估计是因为syslogd被替换的缘故。

像重新安装各文件所属的包，结果rpm因为上述文件的操作权限不够无法完成：
error: unpacking of archive failed on file /usr/sbin/lsof: cpio: rename failed - Operation not permitted

于是用chmod 777，错误如下:
Segmentation fault

chown root:root，错误如下：
chown: changing ownership of `/usr/sbin/lsof': Operation not permitted

因为现在机器还要用，不能重启。大家帮我分析一下这是什么原因，有什么办法不重启能够解决。多谢了。

dancingpig

服务起？你这样看累不累啊，应该装个文件校验
说真题根据常规来看，铜子不好的消息，也许你机器真的中了。。。

terminator

definitely been compromised, better to backup data, reinstall and harden the system. otherwise, you machine may be used to launch attacks against other people, or bring you more trouble.