木马清除

木马清除

Linux中毒的现象

  • 服务器带宽异常
  • 系统产生多余不明用户
  • 开机启动不明服务和crontab任务中一些来历不明的任务
  • 服务器CPU 100% 特别卡
  • 远程连接不上

挖矿木马

Redis未授权导致被入侵种了挖矿程序

使用top命令发现CPU使用率达到100% 即使使用kill -9 进程仍然会起来

再去查看日志文件/var/log/message发现没见过的应用和应用路径等信息

查看任务列表crontab -l发现添加多了条任务计划

查看端口情况netstat -antlp发现122.226.181.85:80这个陌生的IP地址

这边把IP地址拿去https://x.threatbook.cn/ 查看下情况发现是矿池,判断系统给挖矿了

再去检查下/etc/crontab /etc/cron.d/0hourly /etc/cron.hourly/0anacron ps -ef|grep PID并没发现可疑的文件后再去此陌生应用的路径/opt/yilu/work/dig/dig

分别看看这些文件里面的逻辑,发现mservice是二进制文件

1
2
3
file mservice #查看文件类型
strings mservice > mservice.log #把二进制文件中字符打印出来
vim mservice.log #  :%!xxd vim执行xxd命令把文件转化为16进制来搜索关键字cron ddos等

分析
1)记录所有木马路径和文件的信息
2)把程序和目录打包以后做分析 进入挖矿网站查看脚本的逻辑


可以得出该木马只启动服务和写入任务计划两部分。

清除木马

1
2
3
4
5
crontab -e  
rm -rf /opt/yilu/work/dig/dig #木马所在的路径地址
killall -9 mservice
killall -9 dig
reboot

总结流程

last —> top —> netstat -antlp —> /var/log —> ps -ef —> 木马位置 —> rm —> reboot

DDOS木马

开发人员使用弱口令导致被种马,它会让你机器变为肉鸡,使用本机流量攻击别人的机器。平常潜伏在系统中,并不会有明显的CPU100%的情况出现,让运维人员难以察觉。

使用top命令查看发现可疑的程序,即使kill -9也会生产另一个名字不同的进程

查看端口情况netstat -antlp发现它伪装成cat resolv.com程序,而且23.234.52.54这个陌生的IP地址

https://x.threatbook.cn/查看陌生IP地址,发现它可能也是台被远程控制的肉鸡

查看任务计划/etc/crontab发现定时执行cron.sh脚本

继续查看日志文件/var/log/cron 发现root用户调用cron.sh脚本

继续查看陌生剧本的内容

查看cp命令源文件的类型和内容

1
2
3
file /lib/udev/udev #木马程序
strings /lib/udev/udev > udev.log
vim udev.log #  :%!xxd vim执行xxd命令把文件转化为16进制来搜索关键字cron ddos等

查看服务/etc/init.d有陌生服务并查看,它在/boot目录下启动同名的脚本

再查看rc0-6目录ls -lrt /etc/rc*/发现rc0-6目录中有该陌生脚本的软链接

清理

1
2
3
4
5
6
7
rm -rf /lib/udev/udev
rm -rf /etc/rc*/下的软连接
rm -rf /boot/下的脚本
rm -rf /etc/init.d/下的脚本
rm -rf /etc/cron.hourly/cron.sh
vim /etc/crontab
kill -9 进程

总结流程

last —> w —> top —> netstat -anltp —> /var/log/cron —> /etc/cron.hourly/cron.sh —> strings /lib/udev/udev > udev.log —> rm /lib/udev/udev —> /etc/crontab —> /boot/ —> rm /etc/cron.hourly/cron.sh —> rm /etc/init.d/ && /etc/rc*/

kworkerds挖矿木马

Redis未授权访问获得系统的shell,使用Redis执行用户来进行种马。下载源码经过base64转换再执行和执行python脚本扫描8161(activemq)和6379(redis)端口并种马。

使用top命令查看进程情况 发现kworkerds进程占用100%CPU 杀了他们后会自动启Python脚本

由于得到了木马的脚本文件,经过分知道把木马源文件是/usr/local/lib/libntpd.so
先把木马源文件/usr/local/lib/libntpd.so删除,不确认该文件是否病毒可以通过https://x.threatbook.cn/查看,删除libntpd.so文件提示不可删除,说明该文件给于特殊权限,使用`chattr -i`来移除特殊权限再删除libntpd.so文件

清除corntab -e

在/tmp目录下发现默认的文件,可以通过https://x.threatbook.cn/查看文件是否有问题

进入/var/spoon/cron目录删除root文件提示不可删除,说明该文件给于特殊权限,使用chattr -i来移除特殊权限再删除root文件

同理删除/usr/local/bin/dns /cron/etc.d/apache /var/spool/cron/crontabs/root /etc/ld.so.preload /etc/cron.hourly/oanacroner /etc/cron.daily/oanacroner /etc/cron.monthly/oanacroner

kill -9Python脚本和kworkerds进程,删除病毒后分析病毒是从哪里进来的

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

欢迎光临<br><br>本博客是用来记录学习Linux Python Shell和Perl<br>谢谢大家