木马入侵查杀 linux
?目 錄:
一、問(wèn)題現(xiàn)象:
二、問(wèn)題排查:
1、netstat 排查:
2、top查看:
3、lsof -c 命令排查:
4、確定中木馬了。
三、木馬查殺:
木馬1,清除:
木馬2,清除:
四、后續(xù)處理:
1、iptables檢查
2、cron檢查
3、chkconfig檢查
4、木馬刪除,持續(xù)觀察確認(rèn)
五、入侵原因及后續(xù)避免措施:
1、入侵原因:
2、后續(xù)避免措施:(監(jiān)控為主)
?
?
一、問(wèn)題現(xiàn)象:
服務(wù)器登錄緩慢,遠(yuǎn)程連接老是卡頓。
二、問(wèn)題排查:
1、netstat 排查:
如圖:58.218.200.241 為未記錄不可信任ip地址。
2、top查看:
發(fā)現(xiàn)異常進(jìn)程“acs” 和 “l(fā)jyhbsxuew”(此進(jìn)程為隨機(jī)10位字母)
3、lsof -c 命令排查:
1) “acs”異常進(jìn)程查看,如下圖:
- a) /root/acs為木馬文件(該木馬文件大小為1223123)
- b) 58.218.200.241 為攻擊源ip地址(本機(jī)地址被馬賽克了)
2) “l(fā)jyhbsxuew”異常進(jìn)程查看,如下圖:(起初殺馬為殺干凈,“l(fā)jyhbsxuew”這個(gè)木馬重新生成了另一個(gè)進(jìn)程名“iblrrdokzk”)
- a) /boot/iblrrdokzk 為木馬文件(該木馬文件大小為662840)
- b) 58.218.200.241 為攻擊源ip地址(本機(jī)地址被馬賽克了)
4、確定中木馬了。
根據(jù)以上的排查過(guò)程,基本可以確定服務(wù)器中了兩個(gè)木馬程序。
三、木馬查殺:
木馬1,清除:
1)查找木馬文件及木馬原文件:
(其中文件大小1223123為lsof -c獲得)
命令被替換了。
?2)清除木馬文件
find / -size 1223123c |xargs rm -f rm -rf /usr/bin/bsd-port rm -rf /usr/bin/dpkgd rm -f /tmp/gates.lod rm -f /tmp/moni.lod rm -f /etc/rc.d/init.d/DbSecuritySpt rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt rm -f /etc/rc.d/init.d/selinux rm -f /etc/rc.d/rc1.d/S99selinux rm -f /etc/rc.d/rc2.d/S99selinux rm -f /etc/rc.d/rc3.d/S99selinux rm -f /etc/rc.d/rc4.d/S99selinux rm -f /etc/rc.d/rc5.d/S99selinux?3)修復(fù)木馬替換的命令文件:
#rz -ber 上傳正常命令文件到root用戶 cd /root chmod 755 lsof ps ss netstat cp /root/ps /bin cp /root/netstat /bin cp /root/lsof /usr/sbin cp /root/ss /usr/sbin4)殺掉木馬進(jìn)程:
ps -ef|grep '/root/acs' |grep -v grep |awk '{print $2}' |xargs kill -9 #或者 kill -9 2372(lsof中查看到的pid)或者
lsof |grep 1223123 |awk '{print $2}'|xargs kill -9
?
木馬2,清除:
1)查找木馬文件及木馬原文件:
(其中文件大小662840為lsof -c獲得)
?2)清除木馬文件
方法1:(此方法需排除查找出來(lái)的文件無(wú)正常文件,不要誤刪正常文件)find / -size 662840c |xargs rm -f
方法2:
rm /lib/udev/udev -f rm /boot/-f
?3)殺掉木馬進(jìn)程:
ps -ef|grep "/boot/iblrrdokzk"|awk '{print $2}' |xargs kill -9或者
lsof |grep 662840 |awk '{print $2}'|xargs kill -9
?
四、后續(xù)處理:
被入侵了,正常會(huì)被修改iptables配置和cron相關(guān)服務(wù)。
1、iptables檢查:
若修改了,請(qǐng)恢復(fù)正確iptables。(之前的iptables應(yīng)該是存在漏洞的,請(qǐng)確認(rèn)自己的iptables配置是否正確)
我這邊的iptables存在被修改現(xiàn)象,iptables已被重新配置。
?
2、cron檢查:(cd /etc && ls -l |grep cron)
查找這些最新被更新的文件,會(huì)發(fā)下一些定時(shí)腳本。
雖然腳本中的/lib/udev/udev木馬原文件被清除,這些腳本最好也清楚一下。
rm /etc/cron.hourly/cron.sh -f#crontab文件,vi修改刪除異常部分
?3、chkconfig檢查:根據(jù)網(wǎng)上的經(jīng)驗(yàn),chkconfig中也會(huì)加有惡意的啟動(dòng)腳本,需要?jiǎng)h除
chkconfig --del iblrrdokzk rm /etc/init.d/iblrrdokzk-f?4、木馬刪除,持續(xù)觀察確認(rèn)。
top netstat -putlan?
五、入侵原因及后續(xù)避免措施:
1、入侵原因:
根據(jù)系統(tǒng)日志發(fā)現(xiàn)系統(tǒng)存在暴力破解,lastb中很多登錄錯(cuò)誤記錄;
根據(jù)history,防火墻確實(shí)存在被關(guān)閉過(guò)的情況,具體誰(shuí)關(guān)閉不知(多人擁有該設(shè)備登錄方式)。
2、后續(xù)避免措施:(監(jiān)控為主)
a)人為:人為安全意識(shí)提高。
b)監(jiān)控:加入zabbix監(jiān)控,自定義了一個(gè)監(jiān)控項(xiàng),告警觸發(fā)(功能:可以通公網(wǎng)設(shè)備,iptables狀態(tài)關(guān)閉,則立刻告警)
監(jiān)控腳本,僅供參考:
[root@localhost ~]# more iptables.status.sh #!/bin/bash #zhengning #20181217#check iptables statustimeout 2 ping -c1 114.114.114.114 >/dev/null;if [ $? -eq 0 ] ;then /sbin/service iptables status>/dev/null;if [ $? -eq 0 ] ;then#echo okecho 1else#echo warningecho 0fi elseecho 1 fi?
?
?木馬查殺參考:
https://cloud.tencent.com/developer/article/1114996
https://www.baidufe.com/item/e972015c88715fd8cd52.html
?
轉(zhuǎn)載于:https://www.cnblogs.com/pzzning/p/10134825.html
總結(jié)
以上是生活随笔為你收集整理的木马入侵查杀 linux的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: beta 圆桌桌 4
- 下一篇: DBUtils - Python数据库连