文档章节

记一次Linux 病毒清理

LisonSong
 LisonSong
发布于 2015/11/23 10:15
字数 859
阅读 77
收藏 1

总结:

1、病毒程序每次生成的文件都是 10个随机的字母字符  

2、删除/etc/init.d 下的病毒启动文件 不会触发病毒再生成

3、没有排查思路时,多看看系统日志

最基本的中毒现象:

网卡流量暴增、CPU持续超过100%,发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。


事后利用病毒的关键词检索发现网上已经有人遇到过类似问题,网上发现源文件的方法:

A、查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询

B、strace -tt -p PID  跟踪病毒文件 发现 /lib/libudev.so  然后关键次查询找到 gcc.sh


我在排查中发现病毒源文件的过程:

病毒会开机自启动,开始检查开机自启动的入口


A、cron 定时计划

        发现 gcc.sh 可疑但是不能确定,咨询研发人员,也不能确认。

        找了2个多小时病毒源文件后还是找不到,

        只能find 24 小时内被操作过的文件,过滤掉系统文件,大海捞针。

        最后还是怀疑gcc.sh  尝试将此文件mv 到其他目录,重启服务器后居然会自动生成一个,所以确认是病毒文件。接下来就是顺藤摸瓜了。

B、rc.local

      都是正常的业务启动命令

C、可疑的系统服务  

        发现可疑对象,通过脚本文件定位到  /usr/bin下的病毒文件,但是删除后会立即生成,确认这个只是病毒衍生文件。


排查过程中发现机器在频繁和一个固定IP通讯:

lsof  -p PID 发现就是病毒程序发起的通讯

使用 hosts.deny

或者 iptables封禁此 IP  

网络流量锐减


下面是处理细节:


  1. 网络流量暴增,使用 top 观察有至少一個 10 个随机字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,马上产生新的。


    kill掉这个进程或者 rm 掉 /usr/bin/下的病毒文件

       会生成新的进程文件在 /usr/bin 下 同时 生成 服务文件在 init.d/下



  2. 檢查 /etc/crontab 每三分执行 gcc.sh


  3. 查看病毒脚本 gcc.sh,可以看到病毒本体是 /lib/libudev.so。



  4. 刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 无法变动,否則馬上又会产生。

    [root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
  5. 使用 top 查看病毒 mtyxkeaofa,id  16621,不要直接殺掉程序,否则会再产生,而是停止其运行。

    [root@deyu ~]# kill -STOP 16621
  6. 刪除 /etc/init.d 內的服务文件。

    [root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f
  7. 刪除 /usr/bin 內的文件。

    [root@deyu ~]# rm -f /usr/bin/mtyxkeaofa
  8. 查看 /usr/bin 最近变动的文件,如果是病毒删除掉。

    [root@deyu ~]# ls -lt /usr/bin | head
  9. 現在殺掉病毒程序,就不会再产生。

    [root@deyu ~]# pkill mtyxkeaofa
  10. 刪除病毒本体。

    [root@deyu ~]# rm -f /lib/libudev.so


© 著作权归作者所有

共有 人打赏支持
LisonSong
粉丝 0
博文 1
码字总数 859
作品 0
技术主管
私信 提问
Linux操作系统为何会对计算机病毒免疫

可能不少人持这样一种观点,认为 Linux 病毒少是因为Linux不像Windows那么普及,其实这种观点很早已经被人批驳过了,一个最有力的论据是:如果写病毒的人写 Windows 病毒是因为 Windows 用户...

learningloong
2010/09/24
0
0
linux为什么比windows做服务器更好

1.linux本身是网络操作系统,支持所有TCP/IP协议,网络功能是内核中六大模块之一 2.linux和unix兼容,unix是早期的服务器霸主,现在份额逐渐让给linux了 3.linux是多用户多进程系统,windows...

evil_01
2016/03/17
132
1
那些年困扰 Linux 的蠕虫、病毒和木马

虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。个中原因包括,手机爆炸性的普及意味着基于Linux的安卓成为恶意...

oschina
2015/01/08
6.3K
17
云服务器中挖矿程序,隐藏进程偷偷的挖之一路赚钱~

阿里云云监控到有两台redis服务器CPU被某进程消耗400%cpu资源 系统查看Top 情况并未找到高消耗进程X7但CPU100%ni Netstat 查找到了一些异常请求,初步判断出组件被提权入侵了 尝试查找异常进...

平头哥他爸
09/26
0
0
认识Linux病毒 做好操作系统防护工程

对使用Windows的人来说,病毒无处不在,各种各样的新型病毒层出不穷,近年来,一种类似Unix的操作系统也在发展壮大,开始走进我们的视野,并在各领域内得到应用,它就是Linux系统,对于受病毒...

learningloong
2010/09/24
0
0

没有更多内容

加载失败,请刷新页面

加载更多

闲话高并发的那些神话,看京东架构师如何把它拉下神坛

高并发也算是这几年的热门词汇了,尤其在互联网圈,开口不聊个高并发问题,都不好意思出门。高并发有那么邪乎吗?动不动就千万并发、亿级流量,听上去的确挺吓人。但仔细想想,这么大的并发与...

James-
5分钟前
0
0
Emacs 系列:让我们拥抱 Emacs 和 org 模式

导读 我必须承认,在使用了几十年的 vim 后, 我被 Emacs 吸引了。长期以来,我一直对如何组织安排事情感到沮丧。我也有用过 GTD 和 ZTD 之类的方法,但是像邮件或是大型文件这样的事务真的很...

问题终结者
6分钟前
0
0
解析Node.js通过axios实现网络请求

本次给大家分享一篇node.js通过axios实现网络请求的方法,写的十分的全面细致,具有一定的参考价值,对此有需要的朋友可以参考学习下。如有不足之处,欢迎批评指正。 1、使用Npm 下载axios n...

前端攻城老湿
19分钟前
1
0
深入浅出之React-redux中connect的装饰器用法@connect

这篇文章主要介绍了react-redux中connect的装饰器用法@connect详解,写的十分的全面细致,具有一定的参考价值,对此有需要的朋友可以参考学习下。如有不足之处,欢迎批评指正。 通常我们需要一...

前端攻城小牛
20分钟前
1
0
详解css BEM书写规范

BEM是基于组件的web开发方法。其思想是将用户界面分隔为独立的块,从而使开发复杂的UI界面变得更简单和快,且不需要粘贴复制便可复用现有代码。BEM由Block、Element、Modifier组成。选择器里...

前端小攻略
35分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部