linux十字符木马,Linux系统随机10字符病毒的清除
故障表現(xiàn):
登陸服務(wù)器執(zhí)行sar –n DEV,查得向外流量輸出達(dá)到120Mbit/s多,cacti顯示占滿總出口流量
故障判斷:關(guān)閉所有對(duì)外應(yīng)用服務(wù),即tomcat、nginx、vsftp,但關(guān)閉之后發(fā)現(xiàn)流量依然非常高
使用Ps –ef和netstat -ntplua檢查可疑進(jìn)程和端口,發(fā)現(xiàn)有進(jìn)可疑進(jìn)程netstat ps lsof等系統(tǒng)命令跑在/usr/bin/dpkgd目錄里,而原系統(tǒng)命令已失效,得知系統(tǒng)已中***病毒程序
故障排查:用其他服務(wù)器上相同系統(tǒng)版本的命令替換回netstat ps lsof等系統(tǒng)命令
憑經(jīng)驗(yàn)查看tomcat的目錄內(nèi)容是否存在***程序,發(fā)現(xiàn)果然有L26_1000的異常程序存在,但刪除之后,立馬又重新生成。
還有***病毒在top里面表現(xiàn)為隨機(jī)的10位字母的進(jìn)程,看/proc里面的信息,則為ls,cd之類常見(jiàn)的命令。殺死該進(jìn)程后,會(huì)再隨機(jī)產(chǎn)生一個(gè)新的進(jìn)程,刪除這些***文件后,會(huì)再重新生成新的***文件。由此可以判斷,***病毒會(huì)自動(dòng)修復(fù),多個(gè)進(jìn)程之間會(huì)互相保護(hù),一旦刪除和被殺,立即重新啟動(dòng)和復(fù)制。被感染的文件路徑列表:
/boot????中有隨機(jī)的10位字母的進(jìn)程執(zhí)行文件,且有部分系統(tǒng)命令被替換
/bin?????中有隨機(jī)的10位字母的進(jìn)程執(zhí)行文件,且有部分系統(tǒng)命令被替換
/sbin?????中有隨機(jī)的10位字母的進(jìn)程執(zhí)行文件,且有部分系統(tǒng)命令被替換
/usr/bin???中有隨機(jī)的10位字母的進(jìn)程執(zhí)行文件,且有部分系統(tǒng)命令被替換
/usr/sbin???中有隨機(jī)的10位字母的進(jìn)程執(zhí)行文件,且有部分系統(tǒng)命令被替換
/u02/apache-tomcat-6.0.41/bin??中有L26_1000的異常程序
/etc/init.d???中有隨機(jī)的10位字母的進(jìn)程執(zhí)行文件
/etc/rc.d/rc[0-6]d??中有隨機(jī)的10位字母的進(jìn)程執(zhí)行文件
/etc/rc.local??***已被寫(xiě)入啟動(dòng)項(xiàng)
/etc/crontab???***已被寫(xiě)入crontab中,每3分鐘執(zhí)行一次
/etc/cron.hourly??***已被寫(xiě)入cron每小時(shí)執(zhí)行的腳本中***程序處理時(shí)的具體表征:
1)/proc/_pid/cmdline里面都是偽造的信息,ps顯示的內(nèi)容也一樣,基本上為下面一些常見(jiàn)的命令,混淆管理員眼光查詢線索,核驗(yàn)這一個(gè),可以嘗試把who等不常見(jiàn)的命令禁用執(zhí)行權(quán)限,但隨后卻會(huì)發(fā)現(xiàn)該命令不停地出現(xiàn)在ps -Af里面:
gnome-terminal
ls -a
route -n
netstat -antop
ifconfig
sh
cd /etc
bash
who
cat resolv.conf
ps -ef
cat resolv.conf
2)? ps -AfH,顯示為以上的命令,但是ppid(父id)為1,則為init,所以這個(gè)應(yīng)該是跟某個(gè)服務(wù)相關(guān)的。
ps-AfH
root???? 17796????1? 0 11:54 ???????? 00:00:00?? route -n
root???? 18008????1? 0 11:55 ???????? 00:00:00?? netstat -antop
root???? 18011????1? 0 11:55 ???????? 00:00:00?? ifconfig
root???? 18014????1? 0 11:55 ???????? 00:00:00?? sh
root???? 18015????1? 0 11:55 ???????? 00:00:00?? cd /etc
root???? 18016????1? 0 11:55 ???????? 00:00:00?? bash
root???? 18028????1? 0 11:55 ???????? 00:00:00?? who
root???? 18031????1? 0 11:55 ???????? 00:00:00?? cat resolv.conf
root???? 18033????1? 0 11:55 ???????? 00:00:00?? ps -ef
用pstree可以看到真實(shí)的名字:
|-irqbalance--pid=/var/run/irqbalance.pid
|-jbguikdekd
|-jbguikdekd
|-jbguikdekd
|-jbguikdekd
|-mingetty/dev/tty2
|-mingetty/dev/tty3
|-mingetty/dev/tty4
|-mingetty/dev/tty5
|-mingetty/dev/tty6
3)憑經(jīng)驗(yàn)檢查crontab,經(jīng)查找在/etc/cron.hourly/里面寫(xiě)入以下內(nèi)容:
#cat /etc/cron.hourly/kill.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
fori in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up&done
cp/lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
從這個(gè)地方可以看到病毒本體:/lib/libudev.so,這個(gè)文件看起來(lái)應(yīng)該是一個(gè)庫(kù)文件,但是用file查看,這個(gè)文件則為一個(gè)可執(zhí)行文件,請(qǐng)注意下面的兩個(gè)文件,一個(gè)為executable(可執(zhí)行的),另一個(gè)則為正常的共享庫(kù)(shared object):
#file libudev.so
libudev.so:ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked,for GNU/Linux 2.6.9, not stripped
正常的庫(kù)文件應(yīng)該為:
#file libutil-2.12.so
libutil-2.12.so:ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked(uses shared libs), for GNU/Linux 2.6.18, not stripped
把這個(gè)文件取消可執(zhí)行權(quán)限,但是病毒故障依舊。
4)??因?yàn)檫@個(gè)病毒不斷自我啟動(dòng),并且父進(jìn)程號(hào)為1,所以應(yīng)該和init有關(guān),所以查看/etc/init.d,發(fā)現(xiàn)里面果然有啟動(dòng)項(xiàng),刪除之。在/etc/rc.d/rc3.d/里面,也有類似的好幾個(gè)啟動(dòng)項(xiàng),一并刪除。
刪除后,發(fā)現(xiàn)仍然不能殺死,殺死后馬上重建一個(gè)新的,用lsof?查看:
#lsof -R? | grep "/usr/bin"
top??????? 9512?9478????? root? txt??????REG????? 253,0??? 63856????421158 /usr/bin/top
fhmlrqtqv17161???? 1????? root?txt?????? REG????? 253,0??625729???? 393335/usr/bin/fhmlrqtqvz
fgqnvqzzc17226???? 1????? root?txt?????? REG????? 253,0??625740???? 393427/usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc17229???? 1????? root?txt?????? REG????? 253,0??625740???? 393427/usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc17232???? 1????? root?txt?????? REG????? 253,0??625740???? 393427/usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc17233???? 1????? root?txt?????? REG????? 253,0??625740???? 393427/usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc17234???? 1????? root?txt?????? REG????? 253,0??625740???? 393427/usr/bin/fgqnvqzzck (deleted)
# lsof -R
fhmlrqtqv17161?? ??1?????root? cwd?????? DIR?????253,0???? 4096????????? 2 /
fhmlrqtqv17161???? 1????? root?rtd?????? DIR????? 253,0????4096????????? 2 /
fhmlrqtqv17161???? 1????? root?txt?????? REG????? 253,0??625729???? 393335/usr/bin/fhmlrqtqvz
fhmlrqtqv17161 ????1????? root???0u????? CHR??????? 1,3?????0t0?????? 4023 /dev/null
fhmlrqtqv17161???? 1????? root???1u????? CHR??????? 1,3?????0t0?????? 4023 /dev/null
fhmlrqtqv17161???? 1????? root???2u????? CHR??????? 1,3?????0t0?????? 4023 /dev/null
fhmlrqtqv17161???? 1????? root???3u???? IPv4????? 50163?????0t0??????? UDP *:57331
ynmsjtlpw17272???? 1????? root?cwd?????? DIR????? 253,0????4096????????? 2 /
ynmsjtlpw17272???? 1????? root?rtd?????? DIR????? 253,0????4096????????? 2 /
ynmsjtlpw17272?? ??1?????root? txt?????? REG?????253,0?? 625751???? 393426 /usr/bin/ynmsjtlpwp (deleted)
ynmsjtlpw17272???? 1????? root???0u????? CHR??????? 1,3?????0t0?????? 4023 /dev/null
ynmsjtlpw17272???? 1????? root???1u????? CHR??????? 1,3?????0t0?????? 4023 /dev/null
ynmsjtlpw17272???? 1????? root???2u????? CHR??????? 1,3?????0t0?????? 4023 /dev/null
ynmsjtlpw17275???? 1????? root?cwd?????? DIR????? 253,0????4096????????? 2 /
ynmsjtlpw17275???? 1????? root?rtd?????? DIR????? 253,0????4096????????? 2 /
5)lsof再次查看:
再次快速重復(fù)查看:# lsof -R?| grep "/usr/bin",發(fā)現(xiàn)主進(jìn)程不變,總是產(chǎn)生幾個(gè)輔進(jìn)程,并且一直處于dedeted狀態(tài),這說(shuō)明主進(jìn)程會(huì)快速產(chǎn)生幾個(gè)子進(jìn)程,然后這些進(jìn)程之間相互檢測(cè),一旦檢測(cè)到病毒主體被刪除或更改,就會(huì)再產(chǎn)生一個(gè)。
故障解決:
1、將被感染的文件路徑列表中的***文件設(shè)置成000權(quán)限,即chmod 000,確保不再執(zhí)行
2、刪除/etc/rc.local,/etc/crontab,/etc/cron.hourly里面的***程序配置,保證不自動(dòng)啟動(dòng);
3、刪除將被感染的文件路徑列表中的***文件
4、殺掉所有***進(jìn)程。
5、鎖定將被感染的文件路徑列表中的目錄不可更改:如chattr +i /usr/bin這樣保證新產(chǎn)生的病毒寫(xiě)不到里面去。
6、ps –ef再次檢查,發(fā)現(xiàn)***進(jìn)程后,重復(fù)以上步驟
7、當(dāng)前已被我鎖定的目錄和文件如下:
----i-------- /etc/cron.hourly
----i--------/etc/crontab
----i--------/etc/rc.local
----i--------/etc/init.d
----i-------- /u02/apache-tomcat-6.0.41
----i-----I-- /u02/apache-tomcat-6.0.41/bin
----i--------/u02/apache-tomcat-6.0.41/webapps
----i--------/bin
----i--------/boot
----i-----I-- /usr/sbin
----i-----I--/usr//bin
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的linux十字符木马,Linux系统随机10字符病毒的清除的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Java-数据类型
- 下一篇: 酷睿i7cpu适合的linux,CPU性