linux病毒sfewfesfs
由於昨天在內網服務器A不小心rm -fr / ,導致服務器A完蛋,重裝系統後,不知道啥原因,局域網癱瘓不能上網,最後發現內網服務器A的一個進程sfewfesfs cpu 300%。路由器被網絡阻塞啦。 於是百度這個病毒:都說該病毒很變態。第一次中linux病毒,幸虧是內網,感覺比較爽。(總結網絡內容,引以爲戒)
1、病毒現象
服務器不停向外網發送數據包,佔網絡帶寬,甚至導致路由器頻繁重啓。
1) 通過top 或者ps -ef 發現名爲sfewfesfs的進程還有.sshddXXXXXXXXXXX(一串隨機數字)的進程。/etc/下能看到名爲sfewfesfs,nhgbhhj等多個奇怪名字的文件。重啓後一插網線立即開始執行
2)通過sar -n DEV 就可以看到往外發包的情況。
3)netstat -natlp 可以看到使用哪些端口
2、分析可能原因
曾一度懷疑是安裝u盤的問題,安裝盤是u盤製作的系統安裝引導盤,裝入系統之前是格式化了。看了網上的資料,應該不是,U盤的問題。
應該開放了服務器的ssh的22端口,並且開放ssh的遠程root登陸。這個服務器又可以通過路由器代理進來,並且登陸密碼也不是那麼複雜。可能被黑了。
22端口的root權限還是不要開了,no zuo no die,頭一次經歷linux中毒曾一度以爲是很安全的操作系統。
3、解決辦法
1)先看看被***者修改過的:/etc/rc.local文件:
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen這是修改過的內容。
這裏可以看到,他啓動一系列的進程,並且最後還把防火牆給你關掉了。
那現在好辦了。先找到以上對應的所有文件全部刪除。2)刪除病毒文件sfewfesfs
進到/etc/ 下面找到與進程對應的文件名 刪掉。
sudo chattr -i /etc/sfewfesfs*sudo rm -rf /etc/sfewfesfs*
3) 刪除.SSH2和.SSHH2
這個時候還是不行的,因爲這程序啓動後,會衍生出很多的進程。這個時候,找到/etc/下的.SSH2和.SSHH2刪掉。之後找到/tmp/下面所有以.SSH開始的文件,全部刪掉。
用ls -al看到.SSH2隱藏文件,刪除
rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;/etc和/tmp可能有.sshdd1401029348隱藏文件 用ls -al看到,刪除
sudo rm -rf /tmp/.sshdd140*4)刪除計劃任務:
到/var/spool/cron/下面把root 和root.1刪掉。
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1這個時候,病毒程序基本清楚完整了。
5)22端口的root權限還是不要開了:
修改外網映射22端口到XXXX
修改root密碼
passwd
關閉root的22權限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no5)重啓服務器
linux病毒sfewfesfs
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.