Linux服务器中木马(肉鸡)手工清除方法
由于自己也碰到過這種情況,剛好看到這篇文章,先轉(zhuǎn)載過來。的確蠻有用的哦。
首先劇透一下后門木馬如下:
(當(dāng)然這是事后平靜下來后慢慢搜出來的,那個時候喝著咖啡感覺像個自由人)
木馬名稱
Linux.BackDoor.Gates.5
http://forum.antichat.ru/threads/413337/
?
?
首先是下午14點左右有幾臺服務(wù)器出現(xiàn)流量超高,平時只有幾百M的流量,那時候發(fā)現(xiàn)流量上G了,達(dá)到這個量第一感覺就是遭受了DDOS流量攻擊,那時候手上的服務(wù)器比較多,出現(xiàn)幾臺并沒
?
有放在眼里,覺得查查就可以出來結(jié)果。隨便說一句為了達(dá)到最好的性能,我們這些服務(wù)器都沒有開防火墻(包括硬件及iptables),也就是服務(wù)器一直處于裸奔的狀態(tài)。這些服務(wù)器裸奔了
?
幾年一直沒有出現(xiàn)問題,看來linux服務(wù)器安全這塊還是挺讓人滿意的。
?
開始也沒有什么頭緒,就是ps查進(jìn)程啊,netstat查端口號,iftop查流量,估計大家一開始出現(xiàn)這種情況都是這樣操作,又得劇透下(這樣做估計也是黑客希望的,顯然他們對我等非常了解
?
哈),一時也沒發(fā)現(xiàn)什么異常,只是iftop發(fā)現(xiàn)我們的服務(wù)器一直向外大量發(fā)包,對某個IP的流量能到達(dá)600多M,這時我們意識到服務(wù)器被黑了,但是只是當(dāng)成了肉雞,去攻擊別的服務(wù)器,當(dāng)
?
然攻擊的IP也是一直在變化的,就好像有人在遠(yuǎn)程控制一樣。
?
轉(zhuǎn)眼都快到下班時間了,這時大概有3臺服務(wù)器有這種的情況,此時大家把各自了解的情況匯總了一下:
a、/bin/ps,/bin/netsta程序都是1.2M的大小,顯然是被人掉包了
b、/usr/bin/.dbus-daemon--system 進(jìn)程還帶了一個點,跟哪個不帶點的很像,但終歸是假的,你咋不給真的刪掉替換呢,看來寫這種程序的人法律意識很強,要不然程序推廣起來了,死了
?
一大片CIA會放過他嗎
c、/etc/rc.local權(quán)限改了,而且添加了一個開機啟動項
d、lsattr、chattr命令刪除了
e 、進(jìn)程殺掉了立即又起來了這點很讓人頭痛
f、找到了一些最近修改的文件,顯然這些都是黑客留下的
g、開機自動啟動文件增加2個啟動項
?
剛開始進(jìn)程殺了又起來,文件刪了又自動生成,線上環(huán)境又沒有防火墻配置,無奈之下只好想了一個怪招,把/bin/bash重命名一下,果然流量下來了,這種殺敵1萬自損8千的招果然有用。
其實這時候還沒有找到真正的木馬,但是已經(jīng)有時間去分析查找病毒源了,這3臺其中兩臺修改了bash名字,突然斷開了,這樣就登陸不了,只好重裝系統(tǒng)了。后來這臺我就慢慢查找了,差不
?
多都找到了,然后刪除。這時心情大好,準(zhǔn)備寫博文記錄一下,畢竟這是線上環(huán)境第一次遭遇木馬。
大概22點的時候,博文寫了一半,突然又接到故障,這次一下子又7臺服務(wù)器出故障了,好心情一下子沒了,原來那3臺只是個開場白,真正的戰(zhàn)斗還沒有開始。所以后面的博客是續(xù)上的,調(diào)
?
調(diào)要是有些不一樣將就的看吧。
?
由于這段時間網(wǎng)上查了些資料,慢慢的對這個木馬熟悉起來了。這時我上傳了一些正常的二進(jìn)制程序如:ls,netstat,chattr,lsattr這樣用自動的程序一下子就查到了木馬程序,我分析了一
?
下,這些木馬程序名字變著花樣來,但萬變不離其宗,名字都寫在/etc/rc.d/init.d/DbSecuritySpt和/etc/rc.d/init.d/selinux里面,而且名字和正常的服務(wù)很像。
?
有/usr/local/zabbix/sbin/zabbix_AgentD、/usr/bin/bsd-port/getty、/usr/bin/dpkgd/ps、/usr/bin/.dbus-daemon--system、/usr/bin/.sshd、/usr/bin/sshd反正你系統(tǒng)有什么類似的
?
進(jìn)程在運行,他就改成差不多的來迷惑你,其實他們都是一個程序大小也一樣。
?
現(xiàn)在就是刪除這些文件,殺死這些進(jìn)程,說個小插曲由于某臺服務(wù)器漏掉了一些沒有刪,第二天有激活了,這些東西當(dāng)你用上面的命令時就可以激活,所以要千萬小心仔細(xì)。在大概凌晨4點多
?
的時候這7臺服務(wù)器的木馬清理了差不多了,現(xiàn)在綜合總結(jié)了大概步驟如下:
?
?
0,簡單判斷有無木馬
有無下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port?
ls /usr/bin/dpkgd
查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
?
?
1,上傳如下命令到/root下
lsattr ? chattr ?ps ?netstat ?ss lsof
?
?
2,刪除如下目錄及文件
rm -rf /usr/bin/dpkgd ?(ps netstat lsof ss)
rm -rf /usr/bin/bsd-port ?(木馬程序)
rm -f ?/usr/local/zabbix/sbin/zabbix_AgentD (木馬程序)
rm -f ?/usr/local/zabbix/sbin/conf.n
rm -f ?/usr/bin/.sshd?
rm -f ?/usr/bin/sshd?
rm -f ?/root/cmd.n
rm -f ?/root/conf.n
rm -f ?/root/IP
rm -f ?/tmp/gates.lod ??
rm -f ?/tmp/moni.lod
rm -f ?/tmp/notify.file ?程序
rm -f ?/tmp/gates.lock ? 進(jìn)程號
rm -f ?/etc/rc.d/init.d/DbSecuritySpt(啟動上述描述的那些木馬變種程序)
rm -f ?/etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f ?/etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f ?/etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f ?/etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f ?/etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f ?/etc/rc.d/init.d/selinux(默認(rèn)是啟動/usr/bin/bsd-port/getty)
rm -f ?/etc/rc.d/rc1.d/S99selinux
rm -f ?/etc/rc.d/rc2.d/S99selinux
rm -f ?/etc/rc.d/rc3.d/S99selinux
rm -f ?/etc/rc.d/rc4.d/S99selinux
rm -f ?/etc/rc.d/rc5.d/S99selinux
?
?
3,找出下列程序進(jìn)程號并殺死
top 一眼就看到那個木馬cpu利用率特高
/root/ps aux |grep -i jul29(主要是最近開啟的進(jìn)程)
/root/ps aux |grep -i jul30
/root/ps aux |grep -i jul31
/root/ps aux |grep sshd
/root/ps aux |grep ps
/root/ps aux |grep getty
/root/ps aux |grep netstat
/root/ps aux |grep lsof
/root/ps aux |grep ss
/root/ps aux |grep zabbix_Agetntd
/root/ps aux |grep .dbus
舉例如下:
/root/ps aux |grep getty
root ? ? ?6215 ?0.0 ?0.0 ?93636 ? 868 ? ? ? ? ?Ssl ?20:54 ? 0:05 /usr/bin/bsd-port/getty
kill 6215
/root/ps aux |grep zabbix_AgentD
root ? ? ?2558 71.0 ?0.0 106052 ?1048 ? ? ? ? ?Ssl ?20:54 117:29 ./zabbix_AgentD
kill 2558
/root/ps aux |grep "/dpkgd/ps"
root ? ? 11173 67.8 ?0.0 105924 ?1020 ? ? ? ? ?Ssl ?01:39 ? 8:00 /usr/bin/dpkgd/ps -p 11148 -o comm=
kill 11173
?
注意如果kill后刪除后還會再出現(xiàn)就這樣操作(破壞木馬程序)
>/usr/bin/dpkgd/ps && /root/chattr +i /usr/bin/dpkgd/ps
>/usr/bin/bsd-port/getty && /root/chattr +i /usr/bin/bsd-port/getty
?
?
4,刪除含木馬命令并重新安裝(或者把上傳的正常程序復(fù)制過去也行)
ps
/root/chattr ?-i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y
或
cp /root/ps /bin
?
netstat?
?/root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools ? ?-y
或
cp /root/netstat /bin
?
lsof
/root/chattr ?-i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y
或
cp /root/lsof /usr/sbin
?
chattr && lsattr
yum -y reinstall e2fsprogs
?
ss
/root/chattr ?-i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute
或
cp /root/ss /usr/sbin
?
修改下面兩個程序的權(quán)限,這個是意外發(fā)現(xiàn)有的改了這兩個程序的權(quán)限,讓你發(fā)現(xiàn)了木馬既不能下載正常程序也不能殺進(jìn)程
/usr/bin/killall?
/usr/bin/wget
?
另外他們還修改了DNS怕我們識別不了有的域名吧,想得很周到哈
cat /etc/resolv.conf?
nameserver 8.8.8.8
nameserver 8.8.4.4
?
?
?
5,工具掃描
安裝殺毒工具
安裝
yum -y install clamav*
啟動
service clamd restart?
更新病毒庫
freshclam ?
掃描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r ?--remove ?/usr/bin/bsd-port?
clamscan -r ?--remove ?/usr/bin/?
clamscan -r --remove ?/usr/local/zabbix/sbin
查看日志發(fā)現(xiàn)
/bin/netstat: Linux.Trojan.Agent FOUND為病毒
grep FOUND /root/usrclamav.log
/usr/bin/.sshd: Linux.Trojan.Agent FOUND
/usr/sbin/ss: Linux.Trojan.Agent FOUND
/usr/sbin/lsof: Linux.Trojan.Agent FOUND
?
6,加強自身安全
但是此時還不知道系統(tǒng)入侵的原因,只能從兩個方面考慮:暴力破解和系統(tǒng)及服務(wù)漏洞
a、yum update ?更新系統(tǒng)(特別是bash、openssh和openssl)
b、關(guān)閉一些不必要的服務(wù)
c、設(shè)置ssh普通用戶登陸并用hosts.all、hosts.deny限制登陸的網(wǎng)段
d、記錄登陸系統(tǒng)后操作的命令
發(fā)現(xiàn)有如下操作
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/messages
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/httpd/access_log
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/httpd/error_log
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/xferlog
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/secure
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/auth.log
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/user.log
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/wtmp
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/lastlog
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/btmp
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/run/utmp
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/spool/mail/root
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > ./.bash_history
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]rm -rf /root/.bash_history
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]
?
?
7,木馬分析
后續(xù),我把木馬程序轉(zhuǎn)換成了16進(jìn)制的,大概看了一眼, 發(fā)現(xiàn)只是一個木馬并能DDOS攻擊,確實沒有刪除服務(wù)器配置,對服務(wù)器沒有造成太大的危害。程序截圖如下:
id="iframe_0.08964808917764233" src="data:text/html;charset=utf8,%3Cstyle%3Ebody%7Bmargin:0;padding:0%7D%3C/style%3E%3Cimg%20id=%22img%22%20src=%22https://dn-linuxcn.qbox.me/data/attachment/album/201512/09/143119qddixjhtbxdzlh5d.jpg?_=5191869%22%20style=%22border:none;max-width:690px%22%3E%3Cscript%3Ewindow.onload%20=%20function%20()%20%7Bvar%20img%20=%20document.getElementById('img');%20window.parent.postMessage(%7BiframeId:'iframe_0.08964808917764233',width:img.width,height:img.height%7D,%20'http://www.cnblogs.com');%7D%3C/script%3E" frameborder="0" scrolling="no" style="margin: 0px; padding: 0px; border-width: initial; border-style: none; width: 690px; height: 433px;">
id="iframe_0.7638132282653056" src="data:text/html;charset=utf8,%3Cstyle%3Ebody%7Bmargin:0;padding:0%7D%3C/style%3E%3Cimg%20id=%22img%22%20src=%22https://dn-linuxcn.qbox.me/data/attachment/album/201512/09/143119hynoaosiiuwi1aei.jpg?_=5191869%22%20style=%22border:none;max-width:690px%22%3E%3Cscript%3Ewindow.onload%20=%20function%20()%20%7Bvar%20img%20=%20document.getElementById('img');%20window.parent.postMessage(%7BiframeId:'iframe_0.7638132282653056',width:img.width,height:img.height%7D,%20'http://www.cnblogs.com');%7D%3C/script%3E" frameborder="0" scrolling="no" style="margin: 0px; padding: 0px; border-width: initial; border-style: none; width: 690px; height: 490px;">
id="iframe_0.17172008537793704" src="data:text/html;charset=utf8,%3Cstyle%3Ebody%7Bmargin:0;padding:0%7D%3C/style%3E%3Cimg%20id=%22img%22%20src=%22https://dn-linuxcn.qbox.me/data/attachment/album/201512/09/143119f7s7brkn7fymskif.jpg?_=5191869%22%20style=%22border:none;max-width:690px%22%3E%3Cscript%3Ewindow.onload%20=%20function%20()%20%7Bvar%20img%20=%20document.getElementById('img');%20window.parent.postMessage(%7BiframeId:'iframe_0.17172008537793704',width:img.width,height:img.height%7D,%20'http://www.cnblogs.com');%7D%3C/script%3E" frameborder="0" scrolling="no" style="margin: 0px; padding: 0px; border-width: initial; border-style: none; width: 690px; height: 467px;">
id="iframe_0.2596745354521399" src="data:text/html;charset=utf8,%3Cstyle%3Ebody%7Bmargin:0;padding:0%7D%3C/style%3E%3Cimg%20id=%22img%22%20src=%22https://dn-linuxcn.qbox.me/data/attachment/album/201512/09/143120fg1zgb3dfvbc8cdt.jpg?_=5191869%22%20style=%22border:none;max-width:690px%22%3E%3Cscript%3Ewindow.onload%20=%20function%20()%20%7Bvar%20img%20=%20document.getElementById('img');%20window.parent.postMessage(%7BiframeId:'iframe_0.2596745354521399',width:img.width,height:img.height%7D,%20'http://www.cnblogs.com');%7D%3C/script%3E" frameborder="0" scrolling="no" style="margin: 0px; padding: 0px; border-width: initial; border-style: none; width: 690px; height: 455px;">
?
來源?http://www.bubuko.com/infodetail-1010815.html
總結(jié)
以上是生活随笔為你收集整理的Linux服务器中木马(肉鸡)手工清除方法的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: jeecg 分布式部署附件共享问题(li
- 下一篇: Linux下memcache的安装和启动