β

一次被入侵和删除木马程序的经历

千夜 374 阅读
 

木马名称
Linux .BackDoor.Gates.5

中午服务器出现流量超高,平时只有几百M的流量,那时候发现流量上G了,而且提示有 DDOS 流量攻击行为。
开始也没有什么头绪,就是ps查进程,netstat查端口号,nload查流量。一时也没发现什么异常。
后来发现root的家目录下存在conf.n这个文件。
然而我并未创建这个文件,也是感觉问题来了。

/bin/ps,/bin/netsta程序都是1.2M的大小,然后默认的只有几百KB。
木马截图.png

上传正常的二进制程序如:ls,netstat。
这些木马程序名字变着花样来,但万变不离其宗,名字都写在/etc/rc.d/init.d/DbSecurityS pt 和/etc/rc.d/init.d/selinux里面,而且名字和正常的服务很像。
1.简单判断有无木马 有无下列文件

cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port 
ls /usr/bin/dpkgd

2.查看大小是否正常

ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss

3.上传如下命令到/root下

ps netstat ss lsof

4.删除如下目录及文件

rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port  (木马程序)
rm -f  /usr/local/zabbix/sbin/zabbix_AgentD (木马程序)
rm -f  /usr/local/zabbix/sbin/conf.n
rm -f  /usr/bin/.sshd 
rm -f  /usr/bin/sshd 
rm -f  /root/cmd.n
rm -f  /root/conf.n
rm -f  /root/IP
rm -f  /tmp/gates.lod   
rm -f  /tmp/moni.lod
rm -f  /tmp/notify.file (程序)
rm -f  /tmp/gates.lock (进程号)
rm -f  /etc/rc.d/init.d/DbSecuritySpt (启动上述描述的那些木马变种程序)
rm -f  /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f  /etc/rc.d/init.d/selinux (默认是启动/usr/bin/bsd-port/getty)
rm -f  /etc/rc.d/rc1.d/S99selinux
rm -f  /etc/rc.d/rc2.d/S99selinux
rm -f  /etc/rc.d/rc3.d/S99selinux
rm -f  /etc/rc.d/rc4.d/S99selinux
rm -f  /etc/rc.d/rc5.d/S99selinux

5.找出下列程序进程号并杀死
top 一眼就看到那个木马cpu利用率特高

/root/ps aux |grep -i jul29 (主要是最近开启的进程)
/root/ps aux |grep -i jul30
/root/ps aux |grep -i jul31
/root/ps aux |grep sshd
/root/ps aux |grep ps
/root/ps aux |grep getty
/root/ps aux |grep netstat
/root/ps aux |grep lsof
/root/ps aux |grep ss
/root/ps aux |grep zabbix_Agetntd
/root/ps aux |grep .dbus

6.查看DNS文件是不是被更改了

cat /etc/resolv.conf 

7.工具扫描
安装杀毒工具

yum -y install clamav*

启动

service clamd restart

更新病毒库

freshclam

扫描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r  --remove  /usr/bin/bsd-port 
clamscan -r  --remove  /usr/bin/ 
clamscan -r --remove  /usr/local/zabbix/sbin

查看日志发现

/bin/netstat: Linux.Trojan.Agent FOUND为病毒
grep FOUND /root/usrclamav.log
/usr/bin/.sshd: Linux.Trojan.Agent FOUND
/usr/sbin/ss: Linux.Trojan.Agent FOUND
/usr/sbin/lsof: Linux.Trojan.Agent FOUND
 
作者:千夜
原文地址:一次被入侵和删除木马程序的经历, 感谢原作者分享。

发表评论