说起这个事情是由于hostigation今天给我发送了一封邮件告诉我的VPS被Ebury Trojan感染了，让我重新安装系统。

Hostigation received third party information that your VPS may be compromised with the Ebury Trojan. The Ebury trojan steals SSH login credentials from incoming and outgoing SSH connections and forwards them to a dropzone server in specially crafted DNS packets. The trojan is normally found in a binary directory on Unix-based systems in one of the following locations: /usr/bin/ssh /usr/bin/sshd /usr/bin/ssh-add

感觉很高端大气上档次的，没办法数据在人家手里，人家说有毒就只能重装系统了。

好了，闲话到此，说说Ebury Trojan病毒。

SSH是 Linux 上进行远端管理的主要工具，如果这个应用程序被操控，将会构成重大的安全风险。这个SSHD rootkit不是由SSH应用程式漏洞所引起，但初始的攻击方式仍然不明。这个rootkit必须安装在已取得管理员权限的伺服器上，并以一个木马函式库 (即是rootkit档案 ) 取代原有正常的 keyutils函式库。 Rootkit 会连结SSHD进程，从中收集SSH用户登入资讯，这些活动都可能不会在日志记录留下任何证据。 此外， rootkit使用动态网域产生演算法（DGA），按照顶级网域 .biz，.info 及 .net 这个顺序建立随机样式的网域名称，并将收集的用户登入资讯以DNS数据包方式发送到由 rootkit每日产生的目标网域名称。如果攻击者还未注册该网域名称，DNS数据包会发送到编程预设的IP地址 "78.47.139.110" 或 “72.156.139.154”。

在自己的VPS中可以用几行命令检测自己的VPS是否被感染。

首先输入： find /lib* -name libkeyutils\* -exec strings \{\}  \; | egrep 'connect|socket|inet_ntoa|gethostbyname' 如果这个命令输入后就有数据输出，那么恭喜你，你的系统已经被感染了。 假如没有输出，那么继续往下检测。 rpm -Vv keyutils-libs 输入上面命令后结果类似为以下这样的说明你的服务器是OK的。 ........    /lib64/libkeyutils-1.2.so ........    /lib64/libkeyutils.so.1 ........    /usr/share/doc/keyutils-libs-1.2 ........  d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL 但如果显示是这样的话，那么可以重新安装系统了。 ........    /lib/libkeyutils-1.2.so S.5.....    /lib/libkeyutils.so.1 ........    /usr/share/doc/keyutils-libs-1.2 ........  d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL