服務熱線:4008-650-660
14
linux木馬清理(教程2)

一、背景
查看有臺服務器流量跑的很高,流量達到了800Mbps,第一感覺應該是中木馬了,被人當做肉雞了,在大量發包,趁這次機會把發現過程記錄一下。

 

二、發現并追蹤處理

1、查看流量圖發現問題

查看的時候網頁非???,有的時候甚至沒有響應。

1.jpg

2、top動態查看進程

 我馬上遠程登錄出問題的服務器,遠程操作很卡,網卡出去的流量非常大,通過top發現了一個異常的進程占用資源比較高,名字不仔細看還真以為是一個Web服務進程。

2.jpg

3、ps命令查看進程的路徑

發現這個程序文件在/etc目錄下面,是個二進制程序。

3.jpg

4、結束異常進程并繼續追蹤

killall -9 nginx1
rm -f /etc/nginx1

干掉進程之后,流量立刻下來了,遠程也不卡頓了,難道刪掉程序文件?想想也肯定沒那么簡單的,這個是木馬,肯定還會自己生成程序文件,我們得繼續追查。
 

5、查看登錄記錄及日志文件secure

通過命令last查看賬戶登錄記錄,一切正常。查看系統文件message并沒有發現什么,但是當我查看secure文件的時候發現有些異常,反正是和認證有關的,應該是嘗試連進來控制發包。

 

6、再次ps查看進程

其實第一次ps的時候就有這個問題,那時候沒有發現,第二次是查看每個進程,自習尋找不太正常的進程,發現了一個奇怪的ps進程。

4.jpg我找了一臺正常的機器,查看了一下ps命令的大小,正常的大約是81KB,然后這臺機器上面的ps卻高達1.2M,命令文件肯定是被替換了。

5.jpg然后進入另一個ps的目錄,看到有如下幾個命令,然后我有查詢了一下系統的這幾個命令,發現都變得很大,都達到了1.2M,這些系統命令文件肯定是都被替換了。

6.jpg7、更多異常文件的發現

   查看定時任務文件crontab并沒有發現什么一次,然后查看系統啟動文件rc.local,也沒有什么異常,然后進入/etc/init.d目錄查看,發現比較奇怪的腳本文件DbSecuritySpt、selinux。

7.jpg第一個文件可以看出他就是開機啟動那個異常文件的,第二個應該和登錄有關,具體不是很清楚,反正肯定是有問題的。

8.jpg既然和登錄有關,那就找和ssh相關的,找到了下面的一個文件,是隱藏文件,這個也是木馬文件,我們先記錄下來,這樣程序名字都和我們的服務名字很相近,就是為了迷惑我們,他們的大小都是1.2M,他們有可能是一個文件。

9.jpg我有看了一下木馬喜歡出現的目錄/tmp,也發現了異常文件,從名字上感覺好像是監控木馬程序的。

10.jpg想到這里,替換的命令應該很多,單靠我們去找肯定是解決不了的,我的建議最好是重裝操作系統,并做好安全策略,如果不重裝,下面給一下我的方法,具體有待驗證。

 

三、木馬手動清除

現在綜合總結了大概步驟如下:

1、簡單判斷有無木馬

11.jpg

2、上傳如下命令到/root下

ps netstat ss lsof


3、刪除如下目錄及文件ps netstat ss lsof

12.jpg

4、找出異常程序并殺死

13.jpg

5、刪除含木馬命令并重新安裝(或者把上傳的正常程序復制過去也行)

    我自己重新安裝好像不行,我是找的正常的機器復制的命令。

14.jpg

四、殺毒工具掃描

1、安裝殺毒工具clamav
yum install clamav clamav-milter -y

2、啟動服務
service clamd restart

3、更新病毒庫service clamd restart
由于ClamAV不是最新版本,所以有告警信息??梢院雎曰蟶蹲钚擄姹?。

15.jpg

4、掃描方法

 可以使用clamscan -h查看相應的幫助信息
16.jpg
5、查看日志發現

把發現的命令刪掉替換正常的

17.jpg


這條幫助是否解決了您的問題? 已解決 未解決

提交成功!非常感謝您的反饋,我們會繼續努力做到更好! 很抱歉未能解決您的疑問。我們已收到您的反饋意見,同時會及時作出反饋處理!

在線
客服

在線客服服務時間:8:30-18:30

售后支持

客服
熱線

4008-650-660
7*24小時客服服務熱線

足球指数比较
關注官方微信
頂部
{ganrao} 喜乐彩官网 福彩选四基本走势图 篮球场围网球场围网 澳洲幸运8开奖记录 德甲排名积分榜2019 正规网上兼职网赚钱 普通单机四人麻将 浙江快乐彩开奖直播 四人麻将真人 7码四中四 至尊棋牌怎么下载安装 钱龙捕鱼一直黑怎么办 姚记电玩官方下载 足球直播网 喜乐彩开奖彩控 欧冠小组赛积分