记录一次linux病毒清除过程

时间  2019-12-05
标签 记录 一次 linux 病毒 清除 过程 栏目 Linux 繁體版
原文   原文链接

案例描述 html

    早上接到IDC的电话,说咱们的一个网段IP不停的向外发包,应该是被攻击了,具体哪一个IP不知道,让咱们检查一下。 数据库

按理分析及解决办法 c#

    首先咱们要先肯定是哪台机器的网卡在向外发包,还好咱们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出如今这台机器上面。 tomcat

wKioL1aTJjKjEc0XAAGyRS78_8A989.jpg    

    我登陆到机器里面,查看了一下网卡的流量,个人天啊,竟然跑了这个多流量。 oracle

wKiom1aTJiqSKUopAAGBJctAzko745.jpg

    这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不该该出如今WEB服务和数据库上面,我检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,查看系统日志,也没有看到什么异常,可是系统的登陆日志被清除了,我赶忙查看了一下目前运行的进程状况,看看有没有什么异常的进程,一查看,果真发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。 ssh

wKiom1aTJubTjNJNAAMiWBl8Wo8464.jpg

    这是个什么进程呢,我每次ps -ef都不同,一直在变更,进程号一一直在变更中,我想看看进程打开了什么文件都行,一时无从下手,想到这里,我忽然意识到这应该都是一些子进程,由一个主进程进行管理,因此看这些子进程是没有用的,即使我杀掉他们还会有新的生成,擒贼先擒王,咱们去找一下主进程,我用top d1实时查看进程使用资源的状况,看看是否是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是咱们寻找的木马主进程。 spa

wKioL1aTKAyhrwWnAAH6n-9vj9c172.jpg


    我尝试杀掉这个进程,killall -9 ueksinzina,但是杀掉以后ps -ef查看仍是有那些子进程,难道没有杀掉?再次top d1查看,发现有出现了一个其余的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是木马了。 日志

wKiom1aTJ9-BkvZZAAF_awQTcQ8107.jpg


    咱们看看他究竟是什么,"which obgqtvdunq"发现这个命令在/usr/bin下面,屡次杀死以后又从新在/usr/bin目录下面生成,想到应该有什么程序在监听这个进程的状态也可能有什么定时任务,发现进程死掉在从新执行,我就按照目前的思路查看了一下/etc/crontab定时任务以及/etc/init.d启动脚本,均发现有问题。 htm

    能够看到里面有个定时任务gcc4.sh,这个不是咱们设定的,查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,咱们这边把有关的配置所有删掉,而且删掉/lib/libudev4.so。 进程

wKioL1aTNuKBypf6AADwle0ReqU493.jpg


    在/etc/init.d/目录下面也发现了这个文件。 

wKiom1aTNrOxW_EdAAICTXycR80284.jpg


    里面的内容是开机启动的信息,这个咱们也给删掉。

wKiom1aTNrPwqM-QAACAX6GdHq8925.jpg


    以上两个是一个在开机启动的时候启动木马,一个是木马程序死掉以后启动木马,可是目前咱们杀掉木马的时候木马并无死掉,而是马上更换名字切换成另外一个程序文件运行,因此咱们直接杀死是没有任何用处的,咱们目的就是要阻止新的程序文件生成,首先咱们取消程序的执行权限并把程序文件成成的目录/usr/bin目录锁定。

1
2
chmod 000 /usr/bin/obgqtvdunq
chattr +i /usr/bin

   而后咱们杀掉进程"killall -9 obgqtvdunq",而后咱们在查看/etc/init.d/目录,看到他又生成了新的进程,而且目录变化到了/bin目录下面,和上面同样,取消执行权限并把/bin目录锁定,不让他在这里生成,杀掉而后查看他又生成了新的文件,此次他没有在环境变量目录里面,在/tmp里面,咱们把/tmp目录也锁定,而后结束掉进程。

wKioL1aTOijgVYf9AACpcncglgM837.jpg

    

    到此为止,没有新的木马进程生成,原理上说是结束掉了木马程序,后面的工做就是要清楚这些目录产生的文件,通过我寻找,首先清除/etc/init.d目录下面产生的木马启动脚本,而后清楚/etc/rc#.d/目录下面的链接文件。

wKioL1aTOrHQyuJGAAIsUyQ8rOc792.jpg

    

    后来我查看/etc目录下面文件的修改时间,发现ssh目录下面也有一个新生成的文件,不知道是否是有问题的。

wKioL1aTOr-A5rBGAADE2fRR-KM832.jpg

    清理差很少以后咱们就要清理刚才生成的几个文件了,一个一个目录清楚,好比"chattr -i /tmp",而后删除木马文件,以此类推删除/bin、/usr/bin目录下面的木马,到此木马清理完毕。


快速清理木马流程   

假设木马的名字是nshbsjdy,若是top看不到,能够在/etc/init.d目录下面查看

一、首先锁定三个目录,不能让新木马文件产生

1
2
3
4
chmod 000 /usr/bin/nshbsjdy
chattr +i /usr/bin
chattr +i /bin
chattr +i /tmp

二、删除定时任务及文件以及开机启动文件

1
2
3
删除定时任务及文件
rm -f /etc/init.d/nshbsjdy
rm -f /etc/rc#.d/木马链接文件

三、杀掉木马进程

1
killall -9 nshbsjdy

四、清理木马进程

1
2
chattr -i /usr/bin
rm -f /usr/bin/nshbsjdy

处理完成以后再一次检查一下以上各目录,尤为是/etc目录下面最新修改的文件。



    若是是rootkit木马,能够用下面的软件进行检查

1
2
软件chkrootkit:http://www.chkrootkit.org/
软件RKHunter:https://rootkit.nl/projects/rootkit_hunter.html

    安装都很是简单,我使用RKHunter简单检查了一下,没有发现什么重大问题,可是这也并不表示没有什么问题,由于咱们的检测命令也是依赖一些系统的命令,若是系统的命令被感染那是检测不出来的,最好是系统的命令备份一份检查,再不行就备份数据重装喽。

wKioL1aVqpWTs0KyAAFvQUWVc-8650.jpg

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程