案例描述
早上接到idc的**,說我們的乙個網段ip不停的向外發包,應該是被攻擊了,具體哪個ip不知道,讓我們檢查一下。
按理分析及解決辦法
首先我們要先確定是哪台機器的網絡卡在向外發包,還好我們這邊有zabbix監控,我就一台一台的檢查,發現有一台的流量跑滿了,問題應該出現在這台機器上面。
我登入到機器裡面,檢視了一下網絡卡的流量,我的天啊,居然跑了這個多流量。
這台機器主要是執行了乙個tomcat web服務和oracle資料庫,問題不應該出現在web服務和資料庫上面,我檢查了一下web日誌,沒有發現什麼異常,檢視資料庫也都正常,也沒有什麼錯誤日誌,檢視系統日誌,也沒有看到什麼異常,我趕緊檢視了一下目前執行的程序情況,看看有沒有什麼異常的程序,一檢視,果然發現幾個異常程序,不仔細看還真看不出來,這些程序都是不正常的。
這是個什麼程序呢,我每次ps -ef都不一樣,一直在變動,程序號一一直在變動中,我想看看程序開啟了什麼檔案都行,一時無從下手,想到這裡,我突然意識到這應該都是一些子程序,由乙個主程序進行管理,所以看這些子程序是沒有用的,即便我殺掉他們還會有新的生成,擒賊先擒王,我們去找一下主程序,我用top d1實時檢視程序使用資源的情況,看看是不是有異常的程序占用cpu記憶體等資源,發現了乙個奇怪的程序,平時沒有見過。這個應該是我們尋找的木馬主程序。
我嘗試殺掉這個程序,killall -9 ueksinzina
,可是殺掉之後ps -ef
檢視還是有那些子程序,難道沒有殺掉?再次top d1
檢視,發現有出現了乙個其他的主程序,看來殺是殺不掉的,要是那麼容易殺掉就不是木馬了。
我們看看他到底是什麼,which obgqtvdunq
發現這個命令在/usr/bin下面,多次殺死之後又重新在/usr/bin目錄下面生成,想到應該有什麼程式在監聽這個程序的狀態也可能有什麼定時任務,發現程序死掉在重新執行,我就按照目前的思路檢視了一下/etc/crontab定時任務以及/etc/init.d啟動指令碼,均發現有問題。
可以看到裡面有個定時任務gcc4.sh,這個不是我們設定的,檢視一下內容更加奇怪了,這個應該是監聽程式死掉後來啟動的,我們這邊把有關的配置全部刪掉,並且刪掉/lib/libudev4.so。
在/etc/init.d/目錄下面也發現了這個檔案。
裡面的內容是開機啟動的資訊,這個我們也給刪掉。
以上兩個是乙個在開機啟動的時候啟動木馬,乙個是木馬程式死掉之後啟動木馬,但是目前我們殺掉木馬的時候木馬並沒有死掉,而是立刻更換名字切換成另乙個程式檔案執行,所以我們直接殺死是沒有任何用處的,我們目的就是要阻止新的程式檔案生成,首先我們取消程式的執行許可權並把程式檔案成成的目錄/usr/bin目錄鎖定。
然後我們殺掉程序」killall -9 obgqtvdunq」,然後我們在檢視/etc/init.d/目錄,看到他又生成了新的程序,並且目錄變化到了/bin目錄下面,和上面一樣,取消執行許可權並把/bin目錄鎖定,不讓他在這裡生成,殺掉然後檢視他又生成了新的檔案,這次他沒有在環境變數目錄裡面,在/tmp裡面,我們把/tmp目錄也鎖定,然後結束掉程序。chmod 000 /usr/bin/obgqtvdunq
chattr +i /usr/bin
到此為止,沒有新的木馬程序生成,原理上說是結束掉了木馬程式,後面的工作就是要清楚這些目錄產生的檔案,經過我尋找,首先清除/etc/init.d目錄下面產生的木馬啟動指令碼,然後清楚/etc/rc#.d/目錄下面的連線檔案。
後來我檢視/etc目錄下面檔案的修改時間,發現ssh目錄下面也有乙個新生成的檔案,不知道是不是有問題的。
清理差不多之後我們就要清理剛才生成的幾個檔案了,乙個乙個目錄清楚,比如」chattr -i /tmp」,然後刪除木馬檔案,以此類推刪除/bin、/usr/bin目錄下面的木馬,到此木馬清理完畢。
快速清理木馬流程
假設木馬的名字是nshbsjdy,如果top看不到,可以在/etc/init.d目錄下面檢視
1、首先鎖定三個目錄,不能讓新木馬檔案產生
2、刪除定時任務及檔案以及開機啟動檔案chmod 000 /usr/bin/nshbsjdy
chattr +i /usr/bin
chattr +i /bin
chattr +i /tmp
3、殺掉木馬程序刪除定時任務及檔案
rm -f /etc/init.d/nshbsjdy
rm -f /etc/rc#.d/木馬連線檔案
killall -9 nshbsjdy
4、清理木馬程序
處理完成之後再一次檢查一下以上各目錄,尤其是/etc目錄下面最新修改的檔案。chattr -i /usr/bin
rm -f /usr/bin/nshbsjdy
本文出自 「小小水滴」 部落格,請務必保留此出處
一次難忘的 MTS 故障的排除過程
microsoft ole db provider for sql server 錯誤 8004d00a 不能在指定的事務處理器中獲得新事務。或者microsoft ole db provider for sql server 錯誤 8004d00a 新事務不能登記到指定的事務處理器中。我檢視了一下...
記錄一次app報病毒的問題
根據指引到安全檢測平台檢測 也同樣掃瞄出異常 但因為都沒有反饋哪乙個sdk或哪乙個模組,根本無法定位問題。而且最近 1還有就是報毒時間不確定,重新打包安裝,可能不會馬上報病毒,會等一段時間才會提示病毒,等待的時間還不固定 幾個小時到1天 但也只能硬著頭皮解決,這種問題由於無法定位 無法復現,無法確定...
記錄一次sql優化過程
對於我這種剛剛進入dba行業的人來說sql優化是一件很難的事情。所以今天看了一下別人優化的過程順手記錄的一筆。select distinct vi.policy no from odsdata.policy extend info ei,policy vehicle info vi,policy b...