码迷,mamicode.com
首页 > 其他好文 > 详细

centos6中了挖矿木马的解决办法

时间:2018-03-07 19:01:22      阅读:426      评论:0      收藏:0      [点我收藏+]

标签:挖矿木马   linux病毒   

有一个客户服务器root密码设置很简单,被入侵挂马了。top能看到名称大概为10个字母的进程,字母是随机的。一看就不是正常进程(而且杀掉问题进程会自动生成新的、删除问题服务也会自动生成、很占用服务器带宽总是连接外网一个主机)。这种情况下,一般建议断开外网,然后处理。



问题现象:


1、查看定时任务(注意这三个地方都看下)

[root@localhost ~]# crontab -l
[root@localhost ~]# vi /etc/crontab
[root@localhost ~]# ll /etc/cron.*


#这个里面有异常定时任务。

[root@localhost ~]# cat /etc/crontab 
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name command to be executed
*/3 * * * * root /etc/cron.hourly/gcc.sh


#这个定时任务的脚本如下。

[root@localhost ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6


#这个脚本会去获取网卡名称,然后启动。

[root@localhost ~]# cat /proc/net/dev|grep :|awk -F: {'print $1'}
     lo
   eth0


#脚本里面的文件

[root@localhost ~]# file /lib/libudev.so
/lib/libudev.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped


2、查看启动服务,有异常服务。

/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/
[root@localhost ~]# cat /etc/rc.d/init.d/eregsdfdzk
#!/bin/sh
# chkconfig: 12345 90 90
# description: eregsdfdzk
### BEGIN INIT INFO
# Provides:        eregsdfdzk
# Required-Start:    
# Required-Stop:    
# Default-Start:    1 2 3 4 5
# Default-Stop:        
# Short-Description:    eregsdfdzk
### END INIT INFO
case $1 in
start)
    /usr/bin/eregsdfdzk
    ;;
stop)
    ;;
*)
    /usr/bin/eregsdfdzk
    ;;
esac


可以确定如下特点:
(1)这几个地方有我呢提/lib/libudev.so /etc/cron.hourly/gcc.sh /etc/crontab /etc/rc.d/init.d/ /etc/rc.d/rc3.d/
(2)会连接外网的一个地址,防火墙屏蔽也没有用,它会把output是state 为new的drop掉。
(3)/lib/libudev.so应该是主程序。其他是协助运行和自我保护自我复制的实现。



解决办法:


#注意,一定连着执行,要不你的速度超过不了它重新生成的速度。

[root@localhost ~]# chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/


#验证libudev.so已经删除了。

[root@localhost ~]# ls /lib/
cpp  firmware  kbd  modules  security  terminfo  udev
[root@localhost ~]# ls /lib/
cpp  firmware  kbd  modules  security  terminfo  udev


#删除问题服务并锁定服务目录。

[root@localhost ~]#到/etc/rc.d/rc3.d/和/etc/rc.d/init.d目录删除有问题的服务 && chmod 0000 /etc/rc.d/rc3.d/ && chmod 0000 /etc/rc.d/init.d && chattr +i /etc/rc.d/rc3.d/ && chattr +i /etc/rc.d/init.d


#删除定时任务并锁定配置文件。

[root@localhost ~]# sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab


#重启服务器top观察、查看定时任务、服务。

#如果正常了,就再恢复权限和解锁,然后再观察。


centos6中了挖矿木马的解决办法

标签:挖矿木马   linux病毒   

原文地址:http://blog.51cto.com/net881004/2083933

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!