一次被入侵和删除木马程序的经历

December 28, 2011

木马名称 Linux.BackDoor.Gates.5

中午服务器出现流量超高，平时只有几百 M 的流量，那时候发现流量上 G 了，而且提示阿里云有 DDOS 流量攻击行为。

开始也没有什么头绪，就是 ps 查进程，netstat 查端口号，nload 查流量。一时也没发现什么异常。

后来发现 root 的家目录下存在 conf.n 这个文件。

然而我并未创建这个文件，也是感觉问题来了。

/bin/ps,/bin/netsta 程序都是1.2M的大小，然后默认的只有几百 KB。

木马截图.png

上传正常的二进制程序如：ls，netstat。

这些木马程序名字变着花样来，但万变不离其宗，名字都写在 /etc/rc.d/init.d/DbSecuritySpt 和 /etc/rc.d/init.d/selinux 里面，而且名字和正常的服务很像。

1.简单判断有无木马有无下列文件

cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port 
ls /usr/bin/dpkgd

2.查看大小是否正常

ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss

3.上传如下命令到 /root 下

ps netstat ss lsof

4.删除如下目录及文件

rm -rf /usr/bin/dpkgd （ps netstat lsof ss）
rm -rf /usr/bin/bsd-port  (木马程序）
rm -f  /usr/local/zabbix/sbin/zabbix_AgentD （木马程序）
rm -f  /usr/local/zabbix/sbin/conf.n
rm -f  /usr/bin/.sshd 
rm -f  /usr/bin/sshd 
rm -f  /root/cmd.n
rm -f  /root/conf.n
rm -f  /root/IP
rm -f  /tmp/gates.lod   
rm -f  /tmp/moni.lod
rm -f  /tmp/notify.file （程序）
rm -f  /tmp/gates.lock （进程号）
rm -f  /etc/rc.d/init.d/DbSecuritySpt （启动上述描述的那些木马变种程序）
rm -f  /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f  /etc/rc.d/init.d/selinux （默认是启动/usr/bin/bsd-port/getty）
rm -f  /etc/rc.d/rc1.d/S99selinux
rm -f  /etc/rc.d/rc2.d/S99selinux
rm -f  /etc/rc.d/rc3.d/S99selinux
rm -f  /etc/rc.d/rc4.d/S99selinux
rm -f  /etc/rc.d/rc5.d/S99selinux

5.找出下列程序进程号并杀死

top 一眼就看到那个木马 cpu 利用率特高

/root/ps aux |grep -i jul29 （主要是最近开启的进程）
/root/ps aux |grep -i jul30
/root/ps aux |grep -i jul31
/root/ps aux |grep sshd
/root/ps aux |grep ps
/root/ps aux |grep getty
/root/ps aux |grep netstat
/root/ps aux |grep lsof
/root/ps aux |grep ss
/root/ps aux |grep zabbix_Agetntd
/root/ps aux |grep .dbus

6.查看 DNS 文件是不是被更改了

cat /etc/resolv.conf

7.工具扫描

安装杀毒工具

yum -y install clamav*

启动

service clamd restart

更新病毒库

freshclam

扫描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r  --remove  /usr/bin/bsd-port 
clamscan -r  --remove  /usr/bin/ 
clamscan -r --remove  /usr/local/zabbix/sbin

查看日志发现

/bin/netstat: Linux.Trojan.Agent FOUND
/usr/bin/.sshd: Linux.Trojan.Agent FOUND
/usr/sbin/ss: Linux.Trojan.Agent FOUND
/usr/sbin/lsof: Linux.Trojan.Agent FOUND