Linux之上一次艰难的木马查杀过程
摘要
这次被挂马机器是朋友的一台要上线的生产机器,昨晚装的系统今天2点就挂马了。不说了都是泪,直接说说查杀过程吧。
今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程。
我让他关闭这个机器的外网,内网放开,在局域网中给我一个跳板。等我拿到权限之后进入机器,先按照朋友说的验证了一遍,果然是那样,木马有自我保护自我恢复。
这时候我想到一个问题居然是能自我开机启动,要么/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/下有启动脚本,要么有cron计划任务。
于是我发现crontab -l是正常,来到/etc/rc.d/init.d下发现了异常有10位字母的启动脚本,脚本内容如下
[root@Xd9BdoAkG ~]
# cat /etc/rc.d/init.d/fregonnzkq
#!/bin/sh
# chkconfig: 12345 90 90
# description: fregonnzkq
### BEGIN INIT INFO
# Provides: fregonnzkq
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: fregonnzkq
### END INIT INFO
case
$1
in
start)
/usr/bin/fregonnzkq
;;
stop)
;;
*)
/usr/bin/fregonnzkq
;;
esac
看到这我真是佩服这帮人单用户启动模式都不放过啊
到了这里我天真的删除了几个这样的启动脚本,然后重启服务器,问题依旧
到了这时候我多想了下,是不是还有启动脚本?仔细核查发现/etc/rc.d/rc3.d/下还有问题
[root@Xd9BdoAkG rc3.d]
# ls -lt
total 0
lrwxrwxrwx 1 root root 20 Sep 8 13:21 S90eviykluziy -> ..
/init
.d
/eviykluziy
lrwxrwxrwx 1 root root 20 Sep 8 12:49 S90yuurxgembh -> ..
/init
.d
/yuurxgembh
lrwxrwxrwx 1 root root 20 Sep 8 10:37 S90fregonnzkq -> ..
/init
.d
/fregonnzkq
lrwxrwxrwx. 1 root root 15 Sep 7 14:08 S85nginx -> ..
/init
.d
/nginx
lrwxrwxrwx. 1 root root 24 Sep 7 13:55 S99libvirt-guests -> ..
/init
.d
/libvirt-guests
lrwxrwxrwx. 1 root root 19 Sep 7 13:55 S26haldaemon -> ..
/init
.d
/haldaemon
lrwxrwxrwx. 1 root root 19 Sep 7 13:54 K10saslauthd -> ..
/init
.d
/saslauthd
lrwxrwxrwx. 1 root root 20 Sep 7 13:54 S22messagebus -> ..
/init
.d
/messagebus
lrwxrwxrwx. 1 root root 14 Sep 7 13:51 S55sshd -> ..
/init
.d
/sshd
lrwxrwxrwx. 1 root root 18 Sep 7 13:51 K15svnserve -> ..
/init
.d
/svnserve
lrwxrwxrwx. 1 root root 17 Sep 7 13:44 S10network -> ..
/init
.d
/network
lrwxrwxrwx. 1 root root 17 Sep 7 13:44 S12rsyslog -> ..
/init
.d
/rsyslog
lrwxrwxrwx. 1 root root 15 Sep 7 13:44 S90crond -> ..
/init
.d
/crond
lrwxrwxrwx. 1 root root 19 Sep 7 13:44 K75udev-post -> ..
/init
.d
/udev-post
lrwxrwxrwx. 1 root root 17 Sep 7 13:44 K30postfix -> ..
/init
.d
/postfix
lrwxrwxrwx. 1 root root 15 Sep 7 13:44 K75netfs -> ..
/init
.d
/netfs
lrwxrwxrwx. 1 root root 19 Sep 7 13:44 K85mdmonitor -> ..
/init
.d
/mdmonitor
lrwxrwxrwx. 1 root root 22 Sep 7 13:44 K99lvm2-monitor -> ..
/init
.d
/lvm2-monitor
lrwxrwxrwx. 1 root root 15 Sep 7 13:44 K80kdump -> ..
/init
.d
/kdump
lrwxrwxrwx. 1 root root 18 Sep 7 13:44 K92iptables -> ..
/init
.d
/iptables
lrwxrwxrwx. 1 root root 19 Sep 7 13:44 K92ip6tables -> ..
/init
.d
/ip6tables
lrwxrwxrwx. 1 root root 20 Sep 7 13:44 K90eyshcjdmzg -> ..
/init
.d
/eyshcjdmzg
lrwxrwxrwx. 1 root root 26 Sep 7 13:44 K75blk-availability -> ..
/init
.d
/blk-availability
lrwxrwxrwx. 1 root root 16 Sep 7 13:44 K88auditd -> ..
/init
.d
/auditd
lrwxrwxrwx. 1 root root 17 Sep 7 13:37 K75ntpdate -> ..
/init
.d
/ntpdate
lrwxrwxrwx. 1 root root 20 Sep 7 12:15 K50netconsole -> ..
/init
.d
/netconsole
lrwxrwxrwx. 1 root root 11 Sep 7 12:15 S99local -> ..
/rc
.
local
lrwxrwxrwx. 1 root root 15 Sep 7 12:15 K89rdisc -> ..
/init
.d
/rdisc
lrwxrwxrwx. 1 root root 21 Sep 7 12:15 K87restorecond -> ..
/init
.d
/restorecond
看到后我只想把这个木马的作者找到然后说收我做徒弟吧。。。。。。。。
于是我又很傻很天真的删除了这些启动脚本,并且kill了相关进程,希望的太阳没有升起,沉重的打击再次来临,木马再次自我复制自我运行了。。。。启动脚本再次出现了。。
我知道我进入了误区,重新想思路。。。
不知道为什么我瞬间想到了我遗漏了一个地方,cron,对。。。我是crontab -l 来查看的,还有个地方的cron任务不会在这个命令下出现/etc/cron.*
[root@Xd9BdoAkG ~]
# cat /etc/crontab
SHELL=
/bin/bash
PATH=
/sbin
:
/bin
:
/usr/sbin
:
/usr/bin
MAILTO=root
HOME=/
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
*
/3
* * * * root
/etc/cron
.hourly
/gcc
.sh
[root@Xd9BdoAkG ~]
# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=
/bin
:
/sbin
:
/usr/bin
:
/usr/sbin
:
/usr/local/bin
:
/usr/local/sbin
:
/usr/X11R6/bin
for
i
in
`
cat
/proc/net/dev
|
grep
:|
awk
-F: {
'print $1'
}`;
do
ifconfig
$i up&
done
cp
/lib/libudev
.so
/lib/libudev
.so.6
/lib/libudev
.so.6
[root@Xd9BdoAkG ~]
# cat /proc/net/dev|grep :|awk -F: {'print $1'}
lo
em1
em2
em3
em4
你还知道主动启动网络和外面联系啊。。。。
[root@Xd9BdoAkG ~]
# file /lib/libudev.so
/lib/libudev
.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked,
for
GNU
/Linux
2.6.9, not stripped
居然不是脚本什么的,想看文件具体内容暂时是没时间了。。。。。。。
到了这里我们可以确认有几个地方有问题/lib/libudev.so /etc/cron.hourly/gcc.sh /etc/crontab /etc/rc.d/init.d/ /etc/rc.d/rc3.d/
由于对方发送大量数据包,所以开始采取iptables来封禁,发现这玩意直接把output是 state 为new的drop掉。。。。。。。。不想说了,已经被他玩够了,不在乎多一次。。
通过排查可以肯定/lib/libudev.so是主体。其他是协助运行和自我保护自我复制的实现。既然你是个程序还在系统上,我有root,还搞不定么。为了不再多拖时间,直接查杀了。。
[root@Xd9BdoAkG ~]
# chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
#在一步一点要这样运行,不然赶不上木马的自我恢复速度。。。。。我在这里坑了很长时间。
[root@Xd9BdoAkG ~]
# ls /lib/
cpp firmware kbd modules security terminfo udev
[root@Xd9BdoAkG ~]
# ls /lib/
cpp firmware kbd modules security terminfo udev
[root@Xd9BdoAkG ~]
# ls /lib/
cpp firmware kbd modules security terminfo udev
[root@Xd9BdoAkG ~]
# ls /lib/
cpp firmware kbd modules security terminfo udev
[root@Xd9BdoAkG ~]
# ls /lib/
cpp firmware kbd modules security terminfo udev
[root@Xd9BdoAkG ~]
# ls /lib/
cpp firmware kbd modules security terminfo udev
##貌似主体被控制住了,不能再次自我恢复了。。。
[root@Xd9BdoAkG ~]
# ls /etc/rc.d/rc3.d/ | awk '$7>=8 && $NF~/^K90/{print $NF}' | egrep '^.{10}$'| xargs -i rm -rf /etc/rc.d/rc3.d/{}
chmod
0000
/etc/rc
.d
/rc3
.d/ &&
chmod
0000
/etc/rc
.d
/init
.d && chattr +i
/etc/rc
.d
/rc3
.d/ && chattr +i
/etc/rc
.d
/init
.d
#删除启动脚本 awk '$7>=8 && $NF~/^K90/{print $NF}' 这里的8是当天的日期8号的意思,写的不严紧,勿喷~~~
#且控制目录不能写东西了
[root@Xd9BdoAkG ~]
# sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
#删除计划任务且控制计划任务不能写东西
到了这里基本就差不多了。。。。。现在去重启服务器,
尝试查找最近3天内更新的文件
find
/bin
/sbin
/usr/bin
/usr/sbin
/usr/local/bin
/usr/local/sbin
-mtime -3
/bin
/bin/wfukohsuk
/bin/wfukohsuk
.sh
/bin/kushokufw
/usr/bin
/usr/bin/fknnknlajk
/usr/sbin
#停止病毒进程,确认病毒PID
kill
-STOP 16452
#查找启动脚本,删除文件(发现病毒的启动文件为S90/K90)
find
/etc
-name
'*90*'
|
xargs
rm
-f
#删除病毒文件
rm
-rf
/etc/cron
.hourly
/itfitufnyqsvg
.sh
#删除病毒文件
find
/bin
-mtime -1 |
xargs
rm
-f
#杀掉进程
pkill 16452
[root@Xd9BdoAkG ~]
# top -b -n1 | head
top
- 18:13:47 up 0 min, 1 user, load average: 0.11, 0.03, 0.01
Tasks: 178 total, 2 running, 176 sleeping, 0 stopped, 0 zombie
Cpu(s): 1.4%us, 1.6%sy, 0.0%ni, 95.7%
id
, 1.3%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 32827160k total, 486308k used, 32340852k
free
, 6864k buffers
Swap: 16482300k total, 0k used, 16482300k
free
, 28312k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1 root 20 0 19232 1512 1224 S 0.0 0.0 0:01.26 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root RT 0 0 0 0 S 0.0 0.0 0:00.00 migration
/0
[root@Xd9BdoAkG ~]
# top -b -n1 | head
top
- 18:13:51 up 0 min, 1 user, load average: 0.10, 0.03, 0.01
Tasks: 178 total, 1 running, 177 sleeping, 0 stopped, 0 zombie
Cpu(s): 1.3%us, 1.5%sy, 0.0%ni, 96.0%
id
, 1.2%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 32827160k total, 486136k used, 32341024k
free
, 6872k buffers
Swap: 16482300k total, 0k used, 16482300k
free
, 28344k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1414 root 20 0 15020 1232 872 R 2.0 0.0 0:00.01
top
1 root 20 0 19232 1512 1224 S 0.0 0.0 0:01.26 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
[root@Xd9BdoAkG ~]
# top -b -n1 | head
top
- 18:14:15 up 1 min, 1 user, load average: 0.06, 0.03, 0.01
Tasks: 178 total, 1 running, 177 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.8%us, 0.9%sy, 0.0%ni, 97.6%
id
, 0.7%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 32827160k total, 483360k used, 32343800k
free
, 6900k buffers
Swap: 16482300k total, 0k used, 16482300k
free
, 28360k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1 root 20 0 19232 1512 1224 S 0.0 0.0 0:01.26 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root RT 0 0 0 0 S 0.0 0.0 0:00.00 migration
/0
[root@Xd9BdoAkG ~]
# ls /etc/cron.hourly/
0anacron
[root@Xd9BdoAkG ~]
# ls -lt /etc/rc.d/rc3.d/
total 0
lrwxrwxrwx. 1 root root 15 Sep 7 14:08 S85nginx -> ..
/init
.d
/nginx
lrwxrwxrwx. 1 root root 24 Sep 7 13:55 S99libvirt-guests -> ..
/init
.d
/libvirt-guests
lrwxrwxrwx. 1 root root 19 Sep 7 13:55 S26haldaemon -> ..
/init
.d
/haldaemon
lrwxrwxrwx. 1 root root 19 Sep 7 13:54 K10saslauthd -> ..
/init
.d
/saslauthd
lrwxrwxrwx. 1 root root 20 Sep 7 13:54 S22messagebus -> ..
/init
.d
/messagebus
lrwxrwxrwx. 1 root root 14 Sep 7 13:51 S55sshd -> ..
/init
.d
/sshd
lrwxrwxrwx. 1 root root 18 Sep 7 13:51 K15svnserve -> ..
/init
.d
/svnserve
lrwxrwxrwx. 1 root root 17 Sep 7 13:44 S10network -> ..
/init
.d
/network
lrwxrwxrwx. 1 root root 17 Sep 7 13:44 S12rsyslog -> ..
/init
.d
/rsyslog
lrwxrwxrwx. 1 root root 15 Sep 7 13:44 S90crond -> ..
/init
.d
/crond
lrwxrwxrwx. 1 root root 19 Sep 7 13:44 K75udev-post -> ..
/init
.d
/udev-post
lrwxrwxrwx. 1 root root 17 Sep 7 13:44 K30postfix -> ..
/init
.d
/postfix
lrwxrwxrwx. 1 root root 15 Sep 7 13:44 K75netfs -> ..
/init
.d
/netfs
lrwxrwxrwx. 1 root root 19 Sep 7 13:44 K85mdmonitor -> ..
/init
.d
/mdmonitor
lrwxrwxrwx. 1 root root 22 Sep 7 13:44 K99lvm2-monitor -> ..
/init
.d
/lvm2-monitor
lrwxrwxrwx. 1 root root 15 Sep 7 13:44 K80kdump -> ..
/init
.d
/kdump
lrwxrwxrwx. 1 root root 18 Sep 7 13:44 K92iptables -> ..
/init
.d
/iptables
lrwxrwxrwx. 1 root root 19 Sep 7 13:44 K92ip6tables -> ..
/init
.d
/ip6tables
lrwxrwxrwx. 1 root root 26 Sep 7 13:44 K75blk-availability -> ..
/init
.d
/blk-availability
lrwxrwxrwx. 1 root root 16 Sep 7 13:44 K88auditd -> ..
/init
.d
/auditd
lrwxrwxrwx. 1 root root 17 Sep 7 13:37 K75ntpdate -> ..
/init
.d
/ntpdate
lrwxrwxrwx. 1 root root 20 Sep 7 12:15 K50netconsole -> ..
/init
.d
/netconsole
lrwxrwxrwx. 1 root root 11 Sep 7 12:15 S99local -> ..
/rc
.
local
lrwxrwxrwx. 1 root root 15 Sep 7 12:15 K89rdisc -> ..
/init
.d
/rdisc
lrwxrwxrwx. 1 root root 21 Sep 7 12:15 K87restorecond -> ..
/init
.d
/restorecond
开机后发现进程没异常了,世界貌似平静了。。。。
然后再次恢复/etc/crontab /etc/rc.d/init.d/ /etc/rc.d/rc3.d/ /lib文件夹的权限。然后再次重启。。。。。世界真的清静。。。。
Linux之上一次艰难的木马查杀过程相关推荐
- Linux之在CentOS上一次艰难的木马查杀过程
原文地址:https://blog.csdn.net/xpb1980/article/details/76647355 今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看 ...
- centos中bash占用cpu_Linux CentOS 进程CPU占用100%木马查杀过程
在安装CentOS-6.9-x86_64-minimal.iso之后因为设置用户密码比较简单,并且没有修改默认的22远程端口,导致短时间被扫描入侵,然后服务器疯狂向外发包,因此被自己搞死过好几次别人的 ...
- linux服务器杀毒软件命令,悬镜Linux服务器卫士-木马查杀详解
原标题:悬镜Linux服务器卫士-木马查杀详解 今天悬镜小编详细给大家讲解下悬镜管家中-木马查杀功能的使用情况. 对于WebShell的理解,"Web"显然需要服务器开放Web服务 ...
- Linux安全之PHP木马查杀与防范
1.服务器自身系统安全: 使用最新的操作系统,或者最新的稳定版(比如Ubuntu的LTS),定期打好更新,系统权限合理划分,重要文件做权限安全保护. 比如: # chattr +i /etc/pass ...
- Linux下 XordDos(BillGates)木马查杀记录
最近朋友的一台服务器突然网络异常,cpu占用率暴表,登录上去一查,cpu占用300% 左右,流量异常,经过看查进程,获取信息最终确认为中了dos木马,经过几天的研究,基本上已经清除,以下是清理记录. ...
- svcagent32.exe,javaM.exe木马查杀解决方案 (转Ad0.cn)
svcagent32.exe,javaM.exe木马查杀解决方案(Ad0.cn原创) svcagent32.exe, svcupdate.exe木马查杀方案(病毒清除)! svcagent32木马特征 ...
- 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀
前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香" ...
- 病毒木马查杀实战第026篇:“白加黑”恶意程序研究(上)
前言 众所周知,传统的恶意程序都是由单一文件构成的.从而实现某一种或者几种恶意功能. 而这类的恶意程序为了避免被发现以及被查杀,往往会採用五花八门的自我隐藏技术以及免杀技术,病毒程序的作者非常多时候也 ...
- 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...
最新文章
- Codeforces Round #535 (Div. 3)题解
- 夺命雷公狗---linux NO:22 linux下的yum安装的高级配置
- js深入研究之牛逼的类封装设计
- 初等数论--整除--带余除法
- linux c之解决array subscript is not integer和AF_NET not undeclared
- python函数:函数参数,常用函数工具
- Python面向对象编程三大特性之继承
- 苹果因不附赠充电头被罚200万美元,网友:该,大快人心!
- STM32L5特性简介 Cortex-M33内核TEE-TrustZone信息安全
- 浅谈分布式计算的开发与实现(二)
- [转载] Python学习之Numpy
- default value of template parameter c++
- html字体颜色代码表,字体颜色代码
- 无线网络何连不到服务器,关于电脑宾馆连接不上无线网络的解决方法
- 拉卡拉服务器响应超时,拉卡拉传统POS机11个常见问题及解决方法
- php手册3.1,thinkphp3.1手册下载|
- JDBC编程(Java操作数据库 MySQL)
- 反射(三) 笔记
- MySQL 所推荐的左右值法(毗邻目录法、预排序历遍法)
- 统计学(一): Z 分数 正态分布 (附 Python 实现代码) --Z 检验先修; Z 分数与正态分布两者关系; Z 分数与百分位数的异同;面试要点(以心理学实验为舟)