首先登录系统,通过top命令检查系统整体情况
发现第一个进程占用很大cpu资源,肯定有问题
从文件名看出,这不像是一个正常的系统进程
通过进程id判断出执行文件的位置,操作如下:
进一步查看/usr/bin下的文件信息
看第一个文件,非常异常,主要看文件属性
继续通过ps命令查看系统进程,发现
看加壳程序
/usr/bin/dpkgd/ps -ef
看到了吗,这些都是加壳伪装的命令
ps命令看到的其实已经是假象了
然后在看看crontab是否有守护进程信息
发现有异样,看那个kill.sh进程,每3分钟执行一次
询问后得知这个不是人为设置的守护进程
抓内容看看:
看到内容了吗,大家应该能看懂
一个简单的shell
抓网卡,然后设置up状态,所以即使你down了网卡,他也能自动启动
继
续看看dmesg信息
这是内核队列过大,肉鸡发包导致连接队列沾满爆出的信息
一个开发机器,不可能有这么大流量的
基本信息就是这样
那么下来就开始杀这些木马了
先rm .sshd文件
然后
接着删除这个加壳目录下面的东西
我这里暂时没删除,更改了路径
这样操作后,发现ps命令不能用了
不要紧,难不倒我们
重新安装ps命令即可,通过yum
怎么查ps是哪个包,基础命令很重要
好了,安装完成了,再次ps -ef
发现不一样了,跟之前显示进程的方式不一样了,因为现在的才是真的系统状态
先kill掉这个pid,然后删除之前crontab里面的kill.sh文件
看来kill方法不行,有守护进程,只要进程被关闭,就自动重启了
【博士】南非蚂 2016/3/18 15:02:30
那么我来个这样的命令
【博士】南非蚂 2016/3/18 15:02:45
kill -STOP 4440
【博士】南非蚂 2016/3/18 15:03:21
是不是不再出来了
【博士】南非蚂 2016/3/18 15:03:28
然后继续观察这个脚本
【博士】南非蚂 2016/3/18 15:03:30
【博士】南非蚂 2016/3/18 15:03:56
其实罪魁祸首在这里cp /lib/libkill.so /lib/libkill.so.6
【博士】南非蚂 2016/3/18 15:05:08
现在世界清静了【博士】南非蚂 2016/3/18 15:05:16
但是问题还远远没有结束
【博士】南非蚂 2016/3/18 15:06:59
下面开始做收尾工作,清除后门
【博士】南非蚂 2016/3/18 15:09:59
先通过chartt +i 锁定下/etc/crontab文件
【博士】南非蚂 2016/3/18 15:11:06
接着查找最近生成的可疑文件,然后删除之
【博士】南非蚂 2016/3/18 15:11:20
注意这个命令的用法
【博士】南非蚂 2016/3/18 15:11:31
通过输出可以看到那些是可疑进程
【博士】南非蚂 2016/3/18 15:12:56
在删除的过程中发现一个很有意思的问题
【博士】南非蚂蚁
看看这个指向到了那里
15:15:23
【博士】南非蚂 2016/3/18 15:15:23
很明显,这些文件和指向的文件都一并删除
【博士】南非蚂 2016/3/18 15:17:18
当然,这个也不能留
【博士】南非蚂 2016/3/18 15:17:23
删
【博士】南非蚂 2016/3/18 15:22:25
/usr/bin下面绝对不能放过可疑文件
【博士】南非蚂 2016/3/18 15:22:31
查找最新文件即可
【博士】南非蚂 2016/3/18 15:23:51
所哟可以文件删除完成,执行最后一个命令
【博士】南非蚂 2016/3/18 15:23:58
kill -9 4440
【博士】南非蚂 2016/3/18 15:24:11
刚才最后的一个木马文件
【博士】南非蚂 2016/3/18 15:26:12
现在在看看是否还会产生新的文件呢,在
【博士】南非蚂 2016/3/18 15:26:29
它回不来了
本文出自 “江湖笑笑生” 博客,请务必保留此出处http://hashlinux.blog.51cto.com/9647696/1752589
原文地址:http://hashlinux.blog.51cto.com/9647696/1752589