一次Linux服务器被入侵和删除木马程序的经历

一、背景

早上收到zabbix 报警,服务器网站时好时坏,zabbix 客户端连接异常。

 

二、发现并跟踪处理。

1.查看服务器的网卡的流量。

当时流量图。

出口流量达到1.31G

2.使用top命令查看。发现有可异的进程,但是kill掉后,又启起来了。发现这样不行。

3.为了让流量恢复正常,我用阿里云的安全组禁用了所有出口的流量。 但发现这样不行电商的支付,需要访问外网域名地址。

4.为了正常访问,又开启了安全组外网访问,马上流量又起来了。

4.使用netstat -lnatup  发现可异进程都是向外发udp 的包。

5.于是使用阿里云的安全组 禁用所有出口,只允许tcp 的 80 53 443 端口出站,并kill掉进程 中断已生成的链结。流量慢慢恢复正常。

6.流量正常后,网站都恢复正常了。但还是有异常进程。

7.服务器被入侵的原因为Struts s2-045的漏洞,开发晚上修复漏洞升级Struts s2。

8.开始杀查病毒。先手工清除。然后用clamav扫描清除。

三、木马手动清除

现在综合总结了大概步骤如下:

1、简单判断有无木马

wKioL1a0X1Oz6AO1AAAW70k_KhA559.png

2、上传如下命令到/root下

wKioL1a0X3vAPPTjAAADdBgQisU342.png

3、删除如下目录及文件
wKiom1a0X5Kw4Ra2AAAs8SOur0A089.png

4、找出异常程序并杀死

 

5、删除含木马命令并重新安装(或者把上传的正常程序复制过去也行)

我自己重新安装好像不行,我是找的正常的机器复制的命令。

wKioL1a0YB2zCoZMAAAsdOvv1uE344.png

6 .

ps -AfH,显示为以上的命令,但是ppid(父id)为1,则为init,所以这个应该是跟某个服务相关的。

 

7.用pstree可以看到真实的名字:

lsof 也可以持到具体的信息,

8.在crontab的log里面,总显示执行了一个gcc.sh,经查找,是在/etc/cron.hourly/里面:

/lib/libudev.so,这个文件看起来应该是一个库文件,但是用file查看,这个文件则为一个可执行文件,请注意下面的两个文件,一个为executable(可执行的),另一个则为正常的共享库(shared object):

# file libudev.so
libudev.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

正常的库文件应该为:

# file libutil-2.12.so
libutil-2.12.so: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, not stripped

刪除上一行例行工作 gcc.sh,並设定 /etc/crontab 无法变动,否则马上又会产生

rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

chmod 000 /usr/bin/xxxxxxx && chattr +i /usr/bin

9,使用 top 查看病毒为 mtyxkeaofa,id 为 16621,不要直接杀掉程序,否则会再产生,而是停止其运作。

kill -STOP 16621

10,刪除 /etc/init.d 內的栏案。

find /etc -name '*mtyxkeaofa*' | xargs rm -f

11,刪除 /usr/bin 內的栏案。

rm -f /usr/bin/mtyxkeaofa

12,查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一樣。

ls -lt /usr/bin | head

13,现在杀掉病毒程序,就不會再产生。

pkill mtyxkeaofa

14,刪除病毒本体。

rm -f /lib/libudev.so

到此,手工清除病毒删除完成。

 

四、安装clamav 杀毒软件 扫描杀毒

1、去http://pkgs.repoforge.org/clamav/现在安装包

wget http://pkgs.repoforge.org/clamav/clamav-db-0.98.4-1.el6.rf.x86_64.rpm

wget http://pkgs.repoforge.org/clamav/clamav-0.98.4-1.el6.rf.x86_64.rpm

wget http://pkgs.repoforge.org/clamav/clamd-0.98.4-1.el6.rf.x86_64.rpm

2、安装

 

rpm -ivh clamav-db-0.98-2.el6.rf.x86_64.rpm

rpm -ivh clamav-0.98-2.el6.rf.x86_64.rpm

rpm -ivh clamd-0.98-2.el6.rf.x86_64.rpm

3、启动服务

Service clamd start

 

4、更新病毒库

freshclam

 

5、扫描

扫描某个目录,clamscan -r /home/oicqzone

将扫描结果存放到log中,clamscan -r /home/oicqzone -l /tmp/clamav.log

扫描过程中,只显示有问题的文件并且发出警报声音,clamscan -r –bell -i /home/oicqzone

扫描到有问题的文件,直接删除,clamscan -r –remove /home/oicqzone,这一步要小心,最好不要这样操作,小心删除系统文件导致系统崩溃

 

检查无误后,解开/usr/bin,/etc/crontab 删除掉可能产生的其他病毒体。

 

http://wiki.ubuntu.org.cn/ClamAV    使用手册

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *