linux十字符木马,Linux系统随机10字符病毒的清除

故障表现:

登陆服务器执行sar –n DEV,查得向外流量输出达到120Mbit/s多,cacti显示占满总出口流量

故障判断:关闭所有对外应用服务,即tomcat、nginx、vsftp,但关闭之后发现流量依然非常高

使用Ps –ef和netstat -ntplua检查可疑进程和端口,发现有进可疑进程netstat ps lsof等系统命令跑在/usr/bin/dpkgd目录里,而原系统命令已失效,得知系统已中***病毒程序

故障排查:用其他服务器上相同系统版本的命令替换回netstat ps lsof等系统命令

凭经验查看tomcat的目录内容是否存在***程序,发现果然有L26_1000的异常程序存在,但删除之后,立马又重新生成。

还有***病毒在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令。杀死该进程后,会再随机产生一个新的进程,删除这些***文件后,会再重新生成新的***文件。由此可以判断,***病毒会自动修复,多个进程之间会互相保护,一旦删除和被杀,立即重新启动和复制。被感染的文件路径列表:

/boot    中有随机的10位字母的进程执行文件,且有部分系统命令被替换

/bin     中有随机的10位字母的进程执行文件,且有部分系统命令被替换

/sbin     中有随机的10位字母的进程执行文件,且有部分系统命令被替换

/usr/bin   中有随机的10位字母的进程执行文件,且有部分系统命令被替换

/usr/sbin   中有随机的10位字母的进程执行文件,且有部分系统命令被替换

/u02/apache-tomcat-6.0.41/bin  中有L26_1000的异常程序

/etc/init.d   中有随机的10位字母的进程执行文件

/etc/rc.d/rc[0-6]d  中有随机的10位字母的进程执行文件

/etc/rc.local  ***已被写入启动项

/etc/crontab   ***已被写入crontab中,每3分钟执行一次

/etc/cron.hourly  ***已被写入cron每小时执行的脚本中***程序处理时的具体表征:

1)/proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令,混淆管理员眼光查询线索,核验这一个,可以尝试把who等不常见的命令禁用执行权限,但随后却会发现该命令不停地出现在ps -Af里面:

gnome-terminal

ls -a

route -n

netstat -antop

ifconfig

sh

cd /etc

bash

who

cat resolv.conf

ps -ef

cat resolv.conf

2)  ps -AfH,显示为以上的命令,但是ppid(父id)为1,则为init,所以这个应该是跟某个服务相关的。

ps-AfH

root     17796    1  0 11:54 ?        00:00:00   route -n

root     18008    1  0 11:55 ?        00:00:00   netstat -antop

root     18011    1  0 11:55 ?        00:00:00   ifconfig

root     18014    1  0 11:55 ?        00:00:00   sh

root     18015    1  0 11:55 ?        00:00:00   cd /etc

root     18016    1  0 11:55 ?        00:00:00   bash

root     18028    1  0 11:55 ?        00:00:00   who

root     18031    1  0 11:55 ?        00:00:00   cat resolv.conf

root     18033    1  0 11:55 ?        00:00:00   ps -ef

用pstree可以看到真实的名字:

|-irqbalance--pid=/var/run/irqbalance.pid

|-jbguikdekd

|-jbguikdekd

|-jbguikdekd

|-jbguikdekd

|-mingetty/dev/tty2

|-mingetty/dev/tty3

|-mingetty/dev/tty4

|-mingetty/dev/tty5

|-mingetty/dev/tty6

3)凭经验检查crontab,经查找在/etc/cron.hourly/里面写入以下内容:

#cat /etc/cron.hourly/kill.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

fori in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up&done

cp/lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

从这个地方可以看到病毒本体:/lib/libudev.so,这个文件看起来应该是一个库文件,但是用file查看,这个文件则为一个可执行文件,请注意下面的两个文件,一个为executable(可执行的),另一个则为正常的共享库(shared object):

#file libudev.so

libudev.so:ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked,for GNU/Linux 2.6.9, not stripped

正常的库文件应该为:

#file libutil-2.12.so

libutil-2.12.so:ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked(uses shared libs), for GNU/Linux 2.6.18, not stripped

把这个文件取消可执行权限,但是病毒故障依旧。

4)  因为这个病毒不断自我启动,并且父进程号为1,所以应该和init有关,所以查看/etc/init.d,发现里面果然有启动项,删除之。在/etc/rc.d/rc3.d/里面,也有类似的好几个启动项,一并删除。

删除后,发现仍然不能杀死,杀死后马上重建一个新的,用lsof 查看:

#lsof -R  | grep "/usr/bin"

top        9512 9478      root  txt      REG      253,0    63856    421158 /usr/bin/top

fhmlrqtqv17161     1      root txt       REG      253,0  625729     393335/usr/bin/fhmlrqtqvz

fgqnvqzzc17226     1      root txt       REG      253,0  625740     393427/usr/bin/fgqnvqzzck (deleted)

fgqnvqzzc17229     1      root txt       REG      253,0  625740     393427/usr/bin/fgqnvqzzck (deleted)

fgqnvqzzc17232     1      root txt       REG      253,0  625740     393427/usr/bin/fgqnvqzzck (deleted)

fgqnvqzzc17233     1      root txt       REG      253,0  625740     393427/usr/bin/fgqnvqzzck (deleted)

fgqnvqzzc17234     1      root txt       REG      253,0  625740     393427/usr/bin/fgqnvqzzck (deleted)

# lsof -R

fhmlrqtqv17161     1     root  cwd       DIR     253,0     4096          2 /

fhmlrqtqv17161     1      root rtd       DIR      253,0    4096          2 /

fhmlrqtqv17161     1      root txt       REG      253,0  625729     393335/usr/bin/fhmlrqtqvz

fhmlrqtqv17161     1      root   0u      CHR        1,3     0t0       4023 /dev/null

fhmlrqtqv17161     1      root   1u      CHR        1,3     0t0       4023 /dev/null

fhmlrqtqv17161     1      root   2u      CHR        1,3     0t0       4023 /dev/null

fhmlrqtqv17161     1      root   3u     IPv4      50163     0t0        UDP *:57331

ynmsjtlpw17272     1      root cwd       DIR      253,0    4096          2 /

ynmsjtlpw17272     1      root rtd       DIR      253,0    4096          2 /

ynmsjtlpw17272     1     root  txt       REG     253,0   625751     393426 /usr/bin/ynmsjtlpwp (deleted)

ynmsjtlpw17272     1      root   0u      CHR        1,3     0t0       4023 /dev/null

ynmsjtlpw17272     1      root   1u      CHR        1,3     0t0       4023 /dev/null

ynmsjtlpw17272     1      root   2u      CHR        1,3     0t0       4023 /dev/null

ynmsjtlpw17275     1      root cwd       DIR      253,0    4096          2 /

ynmsjtlpw17275     1      root rtd       DIR      253,0    4096          2 /

5)lsof再次查看:

再次快速重复查看:# lsof -R | grep "/usr/bin",发现主进程不变,总是产生几个辅进程,并且一直处于dedeted状态,这说明主进程会快速产生几个子进程,然后这些进程之间相互检测,一旦检测到病毒主体被删除或更改,就会再产生一个。

故障解决:

1、将被感染的文件路径列表中的***文件设置成000权限,即chmod 000,确保不再执行

2、删除/etc/rc.local,/etc/crontab,/etc/cron.hourly里面的***程序配置,保证不自动启动;

3、删除将被感染的文件路径列表中的***文件

4、杀掉所有***进程。

5、锁定将被感染的文件路径列表中的目录不可更改:如chattr +i /usr/bin这样保证新产生的病毒写不到里面去。

6、ps –ef再次检查,发现***进程后,重复以上步骤

7、当前已被我锁定的目录和文件如下:

----i-------- /etc/cron.hourly

----i--------/etc/crontab

----i--------/etc/rc.local

----i--------/etc/init.d

----i-------- /u02/apache-tomcat-6.0.41

----i-----I-- /u02/apache-tomcat-6.0.41/bin

----i--------/u02/apache-tomcat-6.0.41/webapps

----i--------/bin

----i--------/boot

----i-----I-- /usr/sbin

----i-----I--/usr//bin

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/519150.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

面试还搞不懂Redis,快看看这40道面试题!| 博文精选

作者| 程序员追风责编 | Carol出品 | CSDN云计算(ID:CSDNcloud)近年来,微服务变得越来越热门,越来越多的应用部署在分布式环境中。常用的分布式实现方式之一就有 Redis。对于想要年后换东家的程序员来说,如…

阿里新一代分布式任务调度平台Schedulerx2.0破土而出

1. 产品简介 Schedulerx2.0是阿里中间件自研的基于Akka架构的新一代分布式任务调度平台,提供定时、任务编排、分布式跑批等功能。使用Schedulerx2.0,您可以在控制台配置管理您的定时任务,查询历史执行记录,查看运行日志。借助Sch…

数据装载器连接其他oracle数据库_07

需求背景:数据加载器默认连接的是技术oracle数据库,但是,现在开发oracle数据库和回归oracle数据库也需要数据加载。 文章目录一、初始化前置准备二、配置指定监听三、调整配置文件二、执行数据加载声明:数据加载器只需要一台&…

浅谈 Spark 的多语言支持

作者:郑锴,花名铁杰,阿里巴巴高级技术专家,Apache Hadoop PMC,Apache Kerby 创立者。深耕分布式系统开发和开源大数据多年,先后专注在安全,存储和计算领域。之前在 Intel,目前转战阿…

阿里云POLARDB如何助力轻松筹打造5亿用户信赖的大病筹款平台?

轻松筹首创了“大病救助”模式,帮助了众多病患在第一时间解決了医疗资金等问题,为了从源头解决了医疗资金问题。而在轻松筹这样全球5.5亿用户信赖的大病筹款平台的背后,是日益增长的各种数据。面对这样数据量所造成的巨大挑战,阿里…

彻彻底底给你讲明白啥是SpringMvc异步处理

来源 | 编程新说责编 | Carol出品 | CSDN云计算(ID:CSDNcloud)生活在这个世界上,我们必须承认任何事物都是运动变化着的,没有什么东西是一成不变的。不仅因为这句话是出自马克思主义哲学的唯物辩证法,而且事…

linux环境安装LFTP_02

安装: yum -y install lftp验证: sftp 用户名sftpIP地址 输入密码即可

选择阿里云数据库HBase版十大理由

根据Gartner的预计,全球非关系型数据库(NoSQL)在2020~2022预计保持在30%左右高速增长,远高于数据库整体市场。 阿里云数据库HBase版也是踏着技术发展的节奏,伴随着NoSQL和大数据技术的兴起和发展,从2010年…

酷睿i7cpu适合的linux,CPU性能篇 - Core i7-4770K Linux之旅:有喜有忧_Linux新闻_Linux公社-Linux系统门户网站...

CPU性能篇——Rodinia是学术界经常使用的科学测试工具。OpenMP LavaMD负载中,4770K相比3770K快了12%,8350表现也可以。OpenMP Leukocyte负载里,4770K对比3770K的优势依然有10%,但是8350大亮了,竟…

GitOps:Kubernetes多集群环境下的高效CICD实践

为了解决传统应用升级缓慢、架构臃肿、不能快速迭代、故障不能快速定位、问题无法快速解决等问题,云原生这一概念横空出世。云原生可以改进应用开发的效率,改变企业的组织结构,甚至会在文化层面上直接影响一个公司的决策,可以说&a…

远程办公是一阵“过渡风”还是会“继续燃烧”?

受中国新型冠状病毒肺炎感疫情的影响,2月伊始,「远程办公」成为所有人关心与讨论的热门话题之一。在现实驱动之下,企业如何协同与高效办公成为重点问题中的焦点。在中国企业与「远程办公」正面相遇满月之际,2月29日,CS…

SpringBoot+Shiro+ehcache实现登录失败超次数锁定帐号

文章目录二、Controller层接收登录请求三、自定义的Realm四、密码验证器增加登录次数校验功能五、ShiroConfig的配置类六、EhCache 的配置七、全局异常的配置####### 一、 Shiro的执行流程1、核心介绍1)Application Code用户编写代码2)Subject就是shiro管…

linux putty 字体,putty修改字体配色

先看效果步骤:1. 打开Windows注册表编辑器开始 -> regedit2. 找到putty默认session所在位置HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions\Default%20Settings3. 右键导出修改# 字体(monaco字体不错,如效果图)"Font""Consol…

90后ACE成长记——从偏居一隅小城里走出的核心技术人

《ACE成长记》栏目说明 名词解释: 阿里云工程师,简称 ACE (Alibaba Cloud Engineer),代表云计算的爱好者,是最“王牌”(ACE)的一群开发者,也是未来的MVP。 ACE 是遍布在…

阿里开发者招聘节 | 面试题01:如何实现一个高效的单向链表逆序输出?

面试,如同玩一场饥饿游戏:既要对环境了然于胸,又要对自身心知肚明。发现一个好工作不容易,但成功应聘又会面临一系列的挑战。 为帮助开发者们提升面试技能、有机会入职阿里,云栖社区特别制作了这个专辑——阿里巴巴资…

从Kubernetes安全地访问AWS服务,告诉你多云场景下如何管理云凭据!

作者| Alexey Ledenev翻译 | 天道酬勤,责编 | Carol出品 | CSDN云计算(ID:CSDNcloud)随着企业与各种云提供商合作,多云场景已经变得十分常见。在谷歌Kubernetes引擎(GKE)上运行的应用程序需要访…

linux未知设备驱动程序,未知Android设备 - linux mint

我仍然是一个新手到linux和android开发,但我终于得到了我的设备的认可。关键(我认为)是将SUBSYSTEM更改为SUBSYSTEMS,将ATTR更改为ATTRS。按照udev(7) page,这种“向上搜索DEVPATH查找匹配的设备......”所以,这就是我最后做一个令…

MSSQL-最佳实践-Always Encrypted

摘要 在SQL Server安全系列专题月报分享中,往期我们已经陆续分享了:如何使用对称密钥实现SQL Server列加密技术、使用非对称密钥实现SQL Server列加密、使用混合密钥实现SQL Server列加密技术、列加密技术带来的查询性能问题以及相应解决方案、行级别安…

java实现对文件加解密操作

源文件: 加密后的文件: 解密后的文件: package com.gblfy.test;import java.io.*;/*** java 实现对文件加解密的方法** author gblfy* date 2020-12-08*/ public class IOSercet {//获取系统类型private static String OS System.getPro…

如何在工作中快速成长?致工程师的10个简单技巧

阿里妹导读:阿里有句非常经典的土话,“今天的最好表现,是明天的最低要求。”如何挖掘潜能、发现更好的自己?今天,阿里巴巴高级无线开发专家江建明将认知升级的方法总结出来,帮助你获得快速成长的秘诀&#…