linux十字符木马,Linux系统随机10字符病毒的清除
故障表现:
登陆服务器执行sar –n DEV,查得向外流量输出达到120Mbit/s多,cacti显示占满总出口流量
故障判断:关闭所有对外应用服务,即tomcat、nginx、vsftp,但关闭之后发现流量依然非常高
使用Ps –ef和netstat -ntplua检查可疑进程和端口,发现有进可疑进程netstat ps lsof等系统命令跑在/usr/bin/dpkgd目录里,而原系统命令已失效,得知系统已中***病毒程序
故障排查:用其他服务器上相同系统版本的命令替换回netstat ps lsof等系统命令
凭经验查看tomcat的目录内容是否存在***程序,发现果然有L26_1000的异常程序存在,但删除之后,立马又重新生成。
还有***病毒在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令。杀死该进程后,会再随机产生一个新的进程,删除这些***文件后,会再重新生成新的***文件。由此可以判断,***病毒会自动修复,多个进程之间会互相保护,一旦删除和被杀,立即重新启动和复制。被感染的文件路径列表:
/boot 中有随机的10位字母的进程执行文件,且有部分系统命令被替换
/bin 中有随机的10位字母的进程执行文件,且有部分系统命令被替换
/sbin 中有随机的10位字母的进程执行文件,且有部分系统命令被替换
/usr/bin 中有随机的10位字母的进程执行文件,且有部分系统命令被替换
/usr/sbin 中有随机的10位字母的进程执行文件,且有部分系统命令被替换
/u02/apache-tomcat-6.0.41/bin 中有L26_1000的异常程序
/etc/init.d 中有随机的10位字母的进程执行文件
/etc/rc.d/rc[0-6]d 中有随机的10位字母的进程执行文件
/etc/rc.local ***已被写入启动项
/etc/crontab ***已被写入crontab中,每3分钟执行一次
/etc/cron.hourly ***已被写入cron每小时执行的脚本中***程序处理时的具体表征:
1)/proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令,混淆管理员眼光查询线索,核验这一个,可以尝试把who等不常见的命令禁用执行权限,但随后却会发现该命令不停地出现在ps -Af里面:
gnome-terminal
ls -a
route -n
netstat -antop
ifconfig
sh
cd /etc
bash
who
cat resolv.conf
ps -ef
cat resolv.conf
2) ps -AfH,显示为以上的命令,但是ppid(父id)为1,则为init,所以这个应该是跟某个服务相关的。
ps-AfH
root 17796 1 0 11:54 ? 00:00:00 route -n
root 18008 1 0 11:55 ? 00:00:00 netstat -antop
root 18011 1 0 11:55 ? 00:00:00 ifconfig
root 18014 1 0 11:55 ? 00:00:00 sh
root 18015 1 0 11:55 ? 00:00:00 cd /etc
root 18016 1 0 11:55 ? 00:00:00 bash
root 18028 1 0 11:55 ? 00:00:00 who
root 18031 1 0 11:55 ? 00:00:00 cat resolv.conf
root 18033 1 0 11:55 ? 00:00:00 ps -ef
用pstree可以看到真实的名字:
|-irqbalance--pid=/var/run/irqbalance.pid
|-jbguikdekd
|-jbguikdekd
|-jbguikdekd
|-jbguikdekd
|-mingetty/dev/tty2
|-mingetty/dev/tty3
|-mingetty/dev/tty4
|-mingetty/dev/tty5
|-mingetty/dev/tty6
3)凭经验检查crontab,经查找在/etc/cron.hourly/里面写入以下内容:
#cat /etc/cron.hourly/kill.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
fori in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up&done
cp/lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
从这个地方可以看到病毒本体:/lib/libudev.so,这个文件看起来应该是一个库文件,但是用file查看,这个文件则为一个可执行文件,请注意下面的两个文件,一个为executable(可执行的),另一个则为正常的共享库(shared object):
#file libudev.so
libudev.so:ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked,for GNU/Linux 2.6.9, not stripped
正常的库文件应该为:
#file libutil-2.12.so
libutil-2.12.so:ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked(uses shared libs), for GNU/Linux 2.6.18, not stripped
把这个文件取消可执行权限,但是病毒故障依旧。
4) 因为这个病毒不断自我启动,并且父进程号为1,所以应该和init有关,所以查看/etc/init.d,发现里面果然有启动项,删除之。在/etc/rc.d/rc3.d/里面,也有类似的好几个启动项,一并删除。
删除后,发现仍然不能杀死,杀死后马上重建一个新的,用lsof 查看:
#lsof -R | grep "/usr/bin"
top 9512 9478 root txt REG 253,0 63856 421158 /usr/bin/top
fhmlrqtqv17161 1 root txt REG 253,0 625729 393335/usr/bin/fhmlrqtqvz
fgqnvqzzc17226 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc17229 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc17232 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc17233 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc17234 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)
# lsof -R
fhmlrqtqv17161 1 root cwd DIR 253,0 4096 2 /
fhmlrqtqv17161 1 root rtd DIR 253,0 4096 2 /
fhmlrqtqv17161 1 root txt REG 253,0 625729 393335/usr/bin/fhmlrqtqvz
fhmlrqtqv17161 1 root 0u CHR 1,3 0t0 4023 /dev/null
fhmlrqtqv17161 1 root 1u CHR 1,3 0t0 4023 /dev/null
fhmlrqtqv17161 1 root 2u CHR 1,3 0t0 4023 /dev/null
fhmlrqtqv17161 1 root 3u IPv4 50163 0t0 UDP *:57331
ynmsjtlpw17272 1 root cwd DIR 253,0 4096 2 /
ynmsjtlpw17272 1 root rtd DIR 253,0 4096 2 /
ynmsjtlpw17272 1 root txt REG 253,0 625751 393426 /usr/bin/ynmsjtlpwp (deleted)
ynmsjtlpw17272 1 root 0u CHR 1,3 0t0 4023 /dev/null
ynmsjtlpw17272 1 root 1u CHR 1,3 0t0 4023 /dev/null
ynmsjtlpw17272 1 root 2u CHR 1,3 0t0 4023 /dev/null
ynmsjtlpw17275 1 root cwd DIR 253,0 4096 2 /
ynmsjtlpw17275 1 root rtd DIR 253,0 4096 2 /
5)lsof再次查看:
再次快速重复查看:# lsof -R | grep "/usr/bin",发现主进程不变,总是产生几个辅进程,并且一直处于dedeted状态,这说明主进程会快速产生几个子进程,然后这些进程之间相互检测,一旦检测到病毒主体被删除或更改,就会再产生一个。
故障解决:
1、将被感染的文件路径列表中的***文件设置成000权限,即chmod 000,确保不再执行
2、删除/etc/rc.local,/etc/crontab,/etc/cron.hourly里面的***程序配置,保证不自动启动;
3、删除将被感染的文件路径列表中的***文件
4、杀掉所有***进程。
5、锁定将被感染的文件路径列表中的目录不可更改:如chattr +i /usr/bin这样保证新产生的病毒写不到里面去。
6、ps –ef再次检查,发现***进程后,重复以上步骤
7、当前已被我锁定的目录和文件如下:
----i-------- /etc/cron.hourly
----i--------/etc/crontab
----i--------/etc/rc.local
----i--------/etc/init.d
----i-------- /u02/apache-tomcat-6.0.41
----i-----I-- /u02/apache-tomcat-6.0.41/bin
----i--------/u02/apache-tomcat-6.0.41/webapps
----i--------/bin
----i--------/boot
----i-----I-- /usr/sbin
----i-----I--/usr//bin
linux十字符木马,Linux系统随机10字符病毒的清除相关推荐
- linux 随机10字符病毒,Linux系统随机10字符病毒的清除
故障表现: 登陆服务器执行sar –n DEV,查得向外流量输出达到120Mbit/s多,cacti显示占满总出口流量 故障判断: 关闭所有对外应用服务,即tomcat.nginx.vsftp,但关闭 ...
- linux 随机10字符病毒,Linux 10字符串命令病毒的处理记录
刚上线的测试服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程.删除文件也会重复生成,非常痛苦.查阅cron ...
- linux ftp下载文件_Linux系统中10个使用Wget命令下载文件示例
wget 是一个从网络上自动下载文件的命令行工具,支持通过 HTTP.HTTPS.FTP 三个最常见的 TCP/IP协议 下载,并可以使用 HTTP 代理.它是一个非交互式工具,非常适合通过脚本或者在 ...
- linux随机10字母病毒
病毒表现: 网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首.杀死该进程后,会 ...
- Unix.Trojan.DDoS_XOR-1、Linux.Trojan.Agent(Linux.BackDoor.Gates.5)木马清理
一.现象 Linux服务器被黑, 向外疯狂发包,造成网络瘫痪.nload显示100Mbit/s.(nload统计流量软件) 二.木马扫描 1.ClamAV介绍 ClamAV是一个在命令行下查毒软件,因 ...
- Java云同桌学习系列(十九)——Linux系统
本博客java云同桌学习系列,旨在记录本人学习java的过程,并与大家分享,对于想学习java的同学,我希望这个系列能够鼓励大家一同与我学习java,成为"云同桌". 每月预计保持 ...
- RH124 第十二章 Linux系统中的软件管理
RH124 第十二章 Linux系统中的软件管理 1.Linux中软件包的类型 1.DEB #UBlinux DEBlinux 2.RPM #redhat centOS fc 3.bz2|gz|xz ...
- 十五、linux 注册字符类设备和生成节点
一. 注册字符类设备 • 分配内存空间函数kmalloc – 分配连续的虚拟地址,用于小内存分配.在include/linux/slab.h文件中. – 参数1:申请的 ...
- linux 文件 字符集设置,Linux字符集和系统语言设置-LANG,locale,LC_ALL,POSIX等命令及参数详解...
博文说明[前言]: 本文将通过个人口吻介绍Linux字符集和系统语言设置,包括LANG,locale,LC_ALL,POSIX等命令及参数详解的相关知识,在目前时间点[2017年6月21号]下,所掌握 ...
最新文章
- Java线程有哪些不太为人所知的技巧与用法?
- Java语言的循环控制结构
- 层次聚类多维度matlab实现_第34集 python机器学习:凝聚聚类
- 018_Jedis的Hash数据类型
- 阿里云数据库快速搭建疫情分析系统最佳实践
- JAVA多线程-基础Lock Condition 并发集合
- 沉沦17年,这位昔日科技霸主、最值钱企业,终于回来了……
- 解决IE8下body{ overflow:hidden;}无效的解决办法
- libevent项目分析(一) -- 准备阶段
- Oracle/PLSQL CURSOR FOR Loop
- 37. Element appendChild() 方法
- multisim连接MySQL_Multisim14使用multisim12元件库的方法
- 80386汇编_进入32位保护模式
- android 调用系统图片编辑,android 调用系统 裁剪 图片
- 伴雨夜谈【即便大雨倾盆,也无法击起心中的波澜】
- Java的学习——培训或自学
- 计算机机房管理系统数据库设计入门经典,机房管理系统数据库设计
- 华师的入学计算机测试题,华师期末考试计算机练习题
- 使用蓝牙连接设备显示无法连接的解决方案
- c语言 topk算法,scala写算法-用小根堆解决topK
热门文章
- Spark和机器学习整合
- 分页查询抽象出的对象属性(笔记)
- navicat设计表中添加自增长列
- 4245: KI的斐波那契 递归
- 图结构练习——最短路径
- Libevent源码分析
- failed to allocate 192.19M (201523200 bytes) from device: CUDA_ERROR_OUT_OF_MEMORY: out of memory
- 带你体验云原生场景下 Serverless 应用编程模型
- 基于Ganos百行代码实现亿级矢量空间数据在线可视化
- 智能技术改变淘宝,阿里巴巴首次详解核心商业AI体系