木马名称
Linux.BackDoor.Gates.5

中午服务器出现流量超高,平时只有几百 M 的流量,那时候发现流量上 G 了,而且提示阿里云有 DDOS 流量攻击行为。
开始也没有什么头绪,就是 ps 查进程,netstat 查端口号,nload 查流量。一时也没发现什么异常。
后来发现 root 的家目录下存在 conf.n 这个文件。
然而我并未创建这个文件,也是感觉问题来了。

/bin/ps,/bin/netsta 程序都是1.2M的大小,然后默认的只有几百 KB。
木马截图.png

上传正常的二进制程序如:ls,netstat。
这些木马程序名字变着花样来,但万变不离其宗,名字都写在 /etc/rc.d/init.d/DbSecuritySpt
和 /etc/rc.d/init.d/selinux 里面,而且名字和正常的服务很像。
1.简单判断有无木马 有无下列文件

cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port 
ls /usr/bin/dpkgd

2.查看大小是否正常

ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss

3.上传如下命令到 /root 下

ps netstat ss lsof

4.删除如下目录及文件

rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port  (木马程序)
rm -f  /usr/local/zabbix/sbin/zabbix_AgentD (木马程序)
rm -f  /usr/local/zabbix/sbin/conf.n
rm -f  /usr/bin/.sshd 
rm -f  /usr/bin/sshd 
rm -f  /root/cmd.n
rm -f  /root/conf.n
rm -f  /root/IP
rm -f  /tmp/gates.lod   
rm -f  /tmp/moni.lod
rm -f  /tmp/notify.file (程序)
rm -f  /tmp/gates.lock (进程号)
rm -f  /etc/rc.d/init.d/DbSecuritySpt (启动上述描述的那些木马变种程序)
rm -f  /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f  /etc/rc.d/init.d/selinux (默认是启动/usr/bin/bsd-port/getty)
rm -f  /etc/rc.d/rc1.d/S99selinux
rm -f  /etc/rc.d/rc2.d/S99selinux
rm -f  /etc/rc.d/rc3.d/S99selinux
rm -f  /etc/rc.d/rc4.d/S99selinux
rm -f  /etc/rc.d/rc5.d/S99selinux

5.找出下列程序进程号并杀死
top 一眼就看到那个木马 cpu 利用率特高

/root/ps aux |grep -i jul29 (主要是最近开启的进程)
/root/ps aux |grep -i jul30
/root/ps aux |grep -i jul31
/root/ps aux |grep sshd
/root/ps aux |grep ps
/root/ps aux |grep getty
/root/ps aux |grep netstat
/root/ps aux |grep lsof
/root/ps aux |grep ss
/root/ps aux |grep zabbix_Agetntd
/root/ps aux |grep .dbus

6.查看 DNS 文件是不是被更改了

cat /etc/resolv.conf 

7.工具扫描
安装杀毒工具

yum -y install clamav*

启动

service clamd restart

更新病毒库

freshclam

扫描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r  --remove  /usr/bin/bsd-port 
clamscan -r  --remove  /usr/bin/ 
clamscan -r --remove  /usr/local/zabbix/sbin

查看日志发现

/bin/netstat: Linux.Trojan.Agent FOUND
/usr/bin/.sshd: Linux.Trojan.Agent FOUND
/usr/sbin/ss: Linux.Trojan.Agent FOUND
/usr/sbin/lsof: Linux.Trojan.Agent FOUND

标签: Linux

添加新评论