Linux下隨機10字元病毒的清除

2021-08-25 11:09:46 字數 2224 閱讀 5969

伺服器不停的向外發包,網路流量暴滿,且cpu持續100%。遠端登入後檢視發現有一長度為10的隨機字串程序,kill掉,會重新生成另外長度為10的字串程序。刪除檔案也會重複生成

lsof -r | grep 「/usr/bin」,發現主程序不變,總是產生幾個輔程序,並且一直處於dedeted狀態,這說明主程序會快速產生幾個子程序,然後這些程序之間相互檢測,一旦檢測到病毒主體被刪除或更改,就會再產生乙個

ps -ef | grep '字串'  #檢索不到

用pstree可以看到真實的名字

[root@localhost ~]# crontab -l  #未發現異常任務

[root@localhost ~]# cat /etc/crontab

*/3 * * * * root /etc/cron.hourly/cron.sh

*/3 * * * * root /etc/cron.hourly/kill.sh

系統級任務就放在 /etc/crontab 下,一般不會去編輯它,使用者級任務 crontab -e 在 /var/spool/cron/username裡建立乙個crontab檔案

cat /etc/cron.hourly/cron.sh

#!/bin/sh

path=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/x11r6/bin

for i in `cat /proc/net/dev|grep :|awk -f: `; do ifconfig $i up& done

cp /lib/udev/udev /lib/udev/debug /lib/udev/debug

cat /etc/cron.hourly/kill.sh

#!/bin/sh

path=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/x11r6/bin

for i in `cat /proc/net/dev|grep :|awk -f: `; do ifconfig $i up& done

cp /lib/libkill.so /lib/libkill.so.6 /lib/libkill.so.6

單看cron.sh基本能分析出來它的毒害原理了,我的猜測: 

/lib/udev/udev是病原體,通過cron.sh每隔3min自動檢測一次,如果木馬程式不存在,就從病原體複製乙份兒到/lib/udev/debug 

副本/lib/udev/debug執行,生成乙個隨機命名的程式,丟到/usr/bin/、/boot等目錄 

同時修改了自啟動配置chkconfig –add *** ,同時修改自啟動項/etc/rc.local

1、使用 top 檢視病毒pid,為 16621,不要直接kill掉程式,否則會再產生,而是停止其執行

kill -stop 16621
2、刪除相關病毒檔案

rm -rf /etc/cron.hourly/kill.sh /etc/cron.hourly/cron.sh

find /etc -name '*mtyxkeaofa*' | xargs rm -f

rm -f /usr/bin/mtyxkeaofa

檢視 /usr/bin 最近變動的記錄,如果是病毒也一併刪除,其他可疑的目錄也一樣。

ls -lt /usr/bin | head
3、現在殺掉病毒程式,就不會再產生

pkill mtyxkeaofa
4、刪除病毒本體

rm -f /lib/udev/udev /lib/libudev.so
1、/proc裡面的東西是可以更改的; 

2、lsof還比較忠誠,不直接讀取/proc裡面的資訊,ps看到的就不一定真實,pstree和top看到的程序還是正確的。 

3、留意/etc/crontab和/etc/cron.*下的幾個任務目錄 

4、木馬程式的出現,而且是root賬號下,應該是之前風靡的redis漏洞引起,redis內部伺服器呼叫,可以監聽內網

Linux 10字串命令病毒的處理記錄

剛上線的測試伺服器不停的向外發包,且cpu持續100 遠端登入後檢視發現有一長度為10的隨機字串程序,kill掉,會重新生成另外長度為10的字串程序。刪除檔案也會重複生成,非常痛苦。查閱crond相關日誌,發現實際執行的內容為 lib libudev.so 以此為關鍵字進行查詢,找到如下內容 1,網...

Linux 10字串命令病毒的處理記錄

剛上線的測試伺服器不停的向外發包,且cpu持續100 遠端登入後檢視發現有一長度為10的隨機字串程序,kill掉,會重新生成另外長度為10的字串程序。刪除檔案也會重複生成,非常痛苦。查閱crond相關日誌,發現實際執行的內容為 lib libudev.so 以此為關鍵字進行查詢,找到如下內容 1,網...

Linux 10字串命令病毒的處理記錄

剛上線的測試伺服器不停的向外發包,且cpu持續100 遠端登入後檢視發現有一長度為10的隨機字串程序,kill掉,會重新生成另外長度為10的字串程序。刪除檔案也會重複生成,非常痛苦。查閱crond相關日誌,發現實際執行的內容為 lib libudev.so 以此為關鍵字進行查詢,找到如下內容 1,網...