木马入侵查杀 linux
?目 錄:
一、問題現象:
二、問題排查:
1、netstat 排查:
2、top查看:
3、lsof -c 命令排查:
4、確定中木馬了。
三、木馬查殺:
木馬1,清除:
木馬2,清除:
四、后續處理:
1、iptables檢查
2、cron檢查
3、chkconfig檢查
4、木馬刪除,持續觀察確認
五、入侵原因及后續避免措施:
1、入侵原因:
2、后續避免措施:(監控為主)
?
?
一、問題現象:
服務器登錄緩慢,遠程連接老是卡頓。
二、問題排查:
1、netstat 排查:
如圖:58.218.200.241 為未記錄不可信任ip地址。
2、top查看:
發現異常進程“acs” 和 “ljyhbsxuew”(此進程為隨機10位字母)
3、lsof -c 命令排查:
1) “acs”異常進程查看,如下圖:
- a) /root/acs為木馬文件(該木馬文件大小為1223123)
- b) 58.218.200.241 為攻擊源ip地址(本機地址被馬賽克了)
2) “ljyhbsxuew”異常進程查看,如下圖:(起初殺馬為殺干凈,“ljyhbsxuew”這個木馬重新生成了另一個進程名“iblrrdokzk”)
- a) /boot/iblrrdokzk 為木馬文件(該木馬文件大小為662840)
- b) 58.218.200.241 為攻擊源ip地址(本機地址被馬賽克了)
4、確定中木馬了。
根據以上的排查過程,基本可以確定服務器中了兩個木馬程序。
三、木馬查殺:
木馬1,清除:
1)查找木馬文件及木馬原文件:
(其中文件大小1223123為lsof -c獲得)
命令被替換了。
?2)清除木馬文件
find / -size 1223123c |xargs rm -f rm -rf /usr/bin/bsd-port rm -rf /usr/bin/dpkgd rm -f /tmp/gates.lod rm -f /tmp/moni.lod rm -f /etc/rc.d/init.d/DbSecuritySpt rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt rm -f /etc/rc.d/init.d/selinux rm -f /etc/rc.d/rc1.d/S99selinux rm -f /etc/rc.d/rc2.d/S99selinux rm -f /etc/rc.d/rc3.d/S99selinux rm -f /etc/rc.d/rc4.d/S99selinux rm -f /etc/rc.d/rc5.d/S99selinux?3)修復木馬替換的命令文件:
#rz -ber 上傳正常命令文件到root用戶 cd /root chmod 755 lsof ps ss netstat cp /root/ps /bin cp /root/netstat /bin cp /root/lsof /usr/sbin cp /root/ss /usr/sbin4)殺掉木馬進程:
ps -ef|grep '/root/acs' |grep -v grep |awk '{print $2}' |xargs kill -9 #或者 kill -9 2372(lsof中查看到的pid)或者
lsof |grep 1223123 |awk '{print $2}'|xargs kill -9
?
木馬2,清除:
1)查找木馬文件及木馬原文件:
(其中文件大小662840為lsof -c獲得)
?2)清除木馬文件
方法1:(此方法需排除查找出來的文件無正常文件,不要誤刪正常文件)find / -size 662840c |xargs rm -f
方法2:
rm /lib/udev/udev -f rm /boot/-f
?3)殺掉木馬進程:
ps -ef|grep "/boot/iblrrdokzk"|awk '{print $2}' |xargs kill -9或者
lsof |grep 662840 |awk '{print $2}'|xargs kill -9
?
四、后續處理:
被入侵了,正常會被修改iptables配置和cron相關服務。
1、iptables檢查:
若修改了,請恢復正確iptables。(之前的iptables應該是存在漏洞的,請確認自己的iptables配置是否正確)
我這邊的iptables存在被修改現象,iptables已被重新配置。
?
2、cron檢查:(cd /etc && ls -l |grep cron)
查找這些最新被更新的文件,會發下一些定時腳本。
雖然腳本中的/lib/udev/udev木馬原文件被清除,這些腳本最好也清楚一下。
rm /etc/cron.hourly/cron.sh -f#crontab文件,vi修改刪除異常部分
?3、chkconfig檢查:根據網上的經驗,chkconfig中也會加有惡意的啟動腳本,需要刪除
chkconfig --del iblrrdokzk rm /etc/init.d/iblrrdokzk-f?4、木馬刪除,持續觀察確認。
top netstat -putlan?
五、入侵原因及后續避免措施:
1、入侵原因:
根據系統日志發現系統存在暴力破解,lastb中很多登錄錯誤記錄;
根據history,防火墻確實存在被關閉過的情況,具體誰關閉不知(多人擁有該設備登錄方式)。
2、后續避免措施:(監控為主)
a)人為:人為安全意識提高。
b)監控:加入zabbix監控,自定義了一個監控項,告警觸發(功能:可以通公網設備,iptables狀態關閉,則立刻告警)
監控腳本,僅供參考:
[root@localhost ~]# more iptables.status.sh #!/bin/bash #zhengning #20181217#check iptables statustimeout 2 ping -c1 114.114.114.114 >/dev/null;if [ $? -eq 0 ] ;then /sbin/service iptables status>/dev/null;if [ $? -eq 0 ] ;then#echo okecho 1else#echo warningecho 0fi elseecho 1 fi?
?
?木馬查殺參考:
https://cloud.tencent.com/developer/article/1114996
https://www.baidufe.com/item/e972015c88715fd8cd52.html
?
轉載于:https://www.cnblogs.com/pzzning/p/10134825.html
總結
以上是生活随笔為你收集整理的木马入侵查杀 linux的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: beta 圆桌桌 4
- 下一篇: Linux下Shell的for循环语句