記一次linux主機中病毒處理過程

巡完南山巡南山發表於2019-01-21
Linux

問題現象

伺服器一直往外大量發包,佔用流量和cpu,導致伺服器響應很慢甚至無響應,懷疑是病毒引起


問題排查&解決過程

幾乎所有病毒都會新增定時任務以及服務,所有從crontab入手,此時直接執行crontab -l結果可能是不準的,所以直接檢視檔案

查到兩個可疑定時任務,由於cron.sh病毒之前已經清除,這裡只記錄kill.sh病毒處理過程

[root@zj-nms4 rc.d]# cat /etc/crontab 

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/


# run-parts

01 * * * * root run-parts /etc/cron.hourly

02 4 * * * root run-parts /etc/cron.daily

22 4 * * 0 root run-parts /etc/cron.weekly

42 4 1 * * root run-parts /etc/cron.monthly

*/3 * * * * root /etc/cron.hourly/cron.sh

*/3 * * * * root /etc/cron.hourly/kill.sh


vi /etc/crontab進去後將最後兩行註釋掉或者刪除


kill.sh檔案內容,指向/lib/libkill.so檔案,該檔案偽裝成so檔案,其實是可執行檔案,用file libkill.so可檢視

kill.sh其實是病毒原,但由於有程式守護,即使刪除也會馬上新建,所以首先要找到程式


利用top,發現可疑程式suwakbqdkn,pid為7480(ps命令這時已經無法準確的顯示資訊,只有top和lsof準確)

程式資訊如下,如果直接kill便會隨機又生產10個字元的程式和服務

7480 root      19   0 21268  276  184 S  1.9  0.0   0:00.07 suwakbqdkn 


ps檢視程式,其實它已偽裝成whoami命令,這時就會看到如果不用top而是ps檢視的話,比如ps -ef |grep suwakbqdkn是找不到真正資訊的

[root@zj-nms4 lib]# ps -ef |grep 7480

root      7480     1  0 16:40 ?        00:00:00 whoami         

root      8482 26912  0 16:45 pts/2    00:00:00 grep 7480


ls -l /proc/7480

確認可執行檔案在/bin下,而非/usr/bin

這時利用lsof -R |grep "/bin"也可以檢視到結果


將以下目錄增加許可權,防止病毒可以去更改或新增檔案

chattr +i /lib

chattr +i /etc

chattr +i /bin

chattr +i /usr/bin

chattr +i /tmp


刪除病毒原檔案,以及所產生的所有檔案

chattr -i /etc; rm -rf  /etc/cron.hourly/kill.sh ; chattr +i /etc

chattr -i /lib; rm -rf  /lib/libkill.so ; chattr +i /lib

chattr -i /bin; rm -rf  /bin/suwakbqdkn ; chattr +i /bin

chattr -i /tmp; rm -rf  /tmp/gates.lod /tmp/moni.lod ; chattr +i /tmp



找到非正常服務後並刪除

chkconfig --list檢視10個字元的非正常服務

關閉開機啟動

chkconfig suwakbqdkn off

停止服務

service suwakbqdkn stop

刪除服務

chkconfig --del suwakbqdkn


同時檢查以下路徑是否還suwakbqdkn服務

/etc/rc.d下所有級別新服務都刪掉suwakbqdkn,並確認rc.local裡沒有新內容


[root@zj-nms4 cron.hourly]# cd /etc/rc.d/

[root@zj-nms4 rc.d]# ll

總計 112

drwxr-xr-x 2 root root  4096 03-04 13:57 init.d

-rwxr-xr-x 1 root root  2255 2009-07-04 rc

drwxr-xr-x 2 root root  4096 03-04 14:49 rc0.d

drwxr-xr-x 2 root root  4096 03-04 17:18 rc1.d

drwxr-xr-x 2 root root  4096 03-04 17:18 rc2.d

drwxr-xr-x 2 root root  4096 03-04 17:17 rc3.d

drwxr-xr-x 2 root root  4096 03-04 17:19 rc4.d

drwxr-xr-x 2 root root  4096 03-04 17:17 rc5.d

drwxr-xr-x 2 root root  4096 03-04 14:55 rc6.d

-rwxr-xr-x 1 root root   220 2009-07-04 rc.local

-rwxr-xr-x 1 root root 28574 2013-06-24 rc.sysinit

刪除時執行一行語句

chattr -i /etc; rm -rf  suwakbqdkn ; chattr +i /etc


恢復以下目錄許可權,否則系統執行也會受影響

chattr -i /lib

chattr -i /etc

chattr -i /bin

chattr -i /usr/bin

chattr -i /tmp


處理病毒後,一定要講伺服器中所有使用者的口令修改,而且要強口令(數字、字母、大寫、特殊符號等),中病毒的原因很多都是弱口令被暴力破解。



cguvljrkz 32164     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32167     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32170     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32173     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)

cguvljrkz 32174     1      root  txt       REG                8,7   619123    2683872 /usr/bin/cguvljrkzq (deleted)


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/26964624/viewspace-2564288/,如需轉載,請註明出處,否則將追究法律責任。

相關文章