11:40 2018/3/16 發現最近幾天服務器流量異常的大,檢查了系統命令發現命令最近的修改時間很近,檢查dns配置也發現了異常的dns服務器地址。
考慮到事態的嚴重性,剷掉這個系統重新搭建。
事後分析:
黑客將管理員常用命令僞裝成立系統命令,一旦管理員做巡檢,使用掉包後的系統命令來做健康檢查的時候,就激活了病毒。
這些木馬程序名字變着花樣來,但萬變不離其宗,名字都寫在/etc/rc.d/init.d/DbSecuritySpt和/etc/rc.d/init.d/selinux裏面,而且名字和正常的服務很像。
有/usr/local/zabbix/sbin/zabbix_AgentD、/usr/bin/bsd-port/getty、/usr/bin/dpkgd/ps、/usr/bin/.dbus-daemon--system、/usr/bin/.sshd、/usr/bin/sshd反正你係統有什麼類似的
http://jerrymin.blog.51cto.com/3002256/1680777
大神的處理方法如下沒(待驗證):
排查過程如下:
##檢查有無下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
##查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
##2,刪除如下目錄及文件
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port (木馬程序)
rm -f /usr/local/zabbix/sbin/zabbix_AgentD (木馬程序)
rm -f /usr/local/zabbix/sbin/conf.n
rm -f /usr/bin/.sshd
rm -f /usr/bin/sshd
rm -f /root/cmd.n
rm -f /root/conf.n
rm -f /root/IP
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /tmp/notify.file 程序
rm -f /tmp/gates.lock 進程號
rm -f /etc/rc.d/init.d/DbSecuritySpt(啓動上述描述的那些木馬變種程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默認是啓動/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
#,找出下列程序進程號並殺死
top 一眼就看到那個木馬cpu利用率特高
/root/ps aux |grep -i jul29(主要是最近開啓的進程)
/root/ps aux |grep -i jul30
/root/ps aux |grep -i jul31
/root/ps aux |grep sshd
/root/ps aux |grep ps
/root/ps aux |grep getty
/root/ps aux |grep netstat
/root/ps aux |grep lsof
/root/ps aux |grep ss
/root/ps aux |grep zabbix_Agetntd
/root/ps aux |grep .dbus
#注意如果kill後刪除後還會再出現就這樣操作(破壞木馬程序)
>/usr/bin/dpkgd/ps && /root/chattr +i /usr/bin/dpkgd/ps
>/usr/bin/bsd-port/getty && /root/chattr +i /usr/bin/bsd-port/getty
#刪除含木馬命令並重新安裝(或者把上傳的正常程序複製過去也行)
ps
/root/chattr -i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y
或
cp /root/ps /bin
netstat
/root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools -y
或
cp /root/netstat /bin
lsof
/root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y
或
cp /root/lsof /usr/sbin
chattr && lsattr
yum -y reinstall e2fsprogs
ss
/root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute
或
cp /root/ss /usr/sbin
修改下面兩個程序的權限,這個是意外發現有的改了這兩個程序的權限,讓你發現了木馬既不能下載正常程序也不能殺進程
/usr/bin/killall
/usr/bin/wget
另外他們還修改了DNS怕我們識別不了有的域名吧,想得很周到哈
cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4
5,工具掃描(實驗機驗證可行)
安裝殺毒工具
安裝
yum -y install clamav*
啓動
service clamd restart
更新病毒庫
freshclam
掃描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r --remove /usr/bin/bsd-port
clamscan -r --remove /usr/bin/
clamscan -r --remove /usr/local/zabbix/sbin
查看日誌發現
/bin/netstat: Linux.Trojan.Agent FOUND爲病毒
grep FOUND /root/usrclamav.log
/usr/bin/.sshd: Linux.Trojan.Agent FOUND
/usr/sbin/ss: Linux.Trojan.Agent FOUND
/usr/sbin/lsof: Linux.Trojan.Agent FOUND