返回顶部

pzzning

导航

木马入侵查杀 linux

 目 录:

一、问题现象:

二、问题排查:

1、netstat 排查:

2、top查看:

3、lsof -c 命令排查:

4、确定中木马了。

三、木马查杀:

木马1,清除:

木马2,清除:

四、后续处理:

1、iptables检查

2、cron检查

3、chkconfig检查

4、木马删除,持续观察确认

五、入侵原因及后续避免措施:

1、入侵原因:

2、后续避免措施:(监控为主)

 

 

一、问题现象:

服务器登录缓慢,远程连接老是卡顿。

二、问题排查:

1、netstat 排查:

如图:58.218.200.241 为未记录不可信任ip地址。

2、top查看:

发现异常进程“acs” 和 “ljyhbsxuew”(此进程为随机10位字母)

3、lsof -c 命令排查:

1) “acs”异常进程查看,如下图:

  • a) /root/acs为木马文件(该木马文件大小为1223123)
  • b) 58.218.200.241 为攻击源ip地址(本机地址被马赛克了)

2) “ljyhbsxuew”异常进程查看,如下图:(起初杀马为杀干净,“ljyhbsxuew”这个木马重新生成了另一个进程名“iblrrdokzk”)

  • a) /boot/iblrrdokzk 为木马文件(该木马文件大小为662840)
  • b) 58.218.200.241 为攻击源ip地址(本机地址被马赛克了)

4、确定中木马了。

根据以上的排查过程,基本可以确定服务器中了两个木马程序。

三、木马查杀:

木马1,清除:

1)查找木马文件及木马原文件:

(其中文件大小1223123为lsof -c获得)

命令被替换了。

 2)清除木马文件

find / -size 1223123c  |xargs rm -f
rm -rf /usr/bin/bsd-port
rm -rf /usr/bin/dpkgd
rm -f /tmp/gates.lod 
rm -f /tmp/moni.lod 
rm -f /etc/rc.d/init.d/DbSecuritySpt
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt 
rm -f /etc/rc.d/init.d/selinux
rm -f /etc/rc.d/rc1.d/S99selinux 
rm -f /etc/rc.d/rc2.d/S99selinux 
rm -f /etc/rc.d/rc3.d/S99selinux 
rm -f /etc/rc.d/rc4.d/S99selinux 
rm -f /etc/rc.d/rc5.d/S99selinux

 3)修复木马替换的命令文件:

#rz -ber 上传正常命令文件到root用户
cd /root
chmod 755 lsof ps ss netstat
cp /root/ps /bin
cp /root/netstat /bin
cp /root/lsof /usr/sbin
cp /root/ss /usr/sbin

4)杀掉木马进程:

ps -ef|grep '/root/acs' |grep -v grep |awk '{print $2}' |xargs kill -9 #或者 kill -9 2372(lsof中查看到的pid) 
或者
lsof |grep 1223123 |awk '{print $2}'|xargs kill -9

 

木马2,清除:

1)查找木马文件及木马原文件:

(其中文件大小662840为lsof -c获得)

 2)清除木马文件

方法1:(此方法需排除查找出来的文件无正常文件,不要误删正常文件)
find / -size 662840c |xargs rm -f

方法2:
rm /lib/udev/udev -f
rm /boot/-f

 3)杀掉木马进程:

ps -ef|grep "/boot/iblrrdokzk"|awk '{print $2}' |xargs kill -9
或者
lsof |grep 662840 |awk '{print $2}'|xargs kill -9

 

四、后续处理:

被入侵了,正常会被修改iptables配置和cron相关服务。

1、iptables检查:

若修改了,请恢复正确iptables。(之前的iptables应该是存在漏洞的,请确认自己的iptables配置是否正确)

我这边的iptables存在被修改现象,iptables已被重新配置。

 

2、cron检查:(cd /etc && ls -l |grep cron)

查找这些最新被更新的文件,会发下一些定时脚本。

虽然脚本中的/lib/udev/udev木马原文件被清除,这些脚本最好也清楚一下。

rm /etc/cron.hourly/cron.sh -f
#crontab文件,vi修改删除异常部分

 3、chkconfig检查:根据网上的经验,chkconfig中也会加有恶意的启动脚本,需要删除

chkconfig --del iblrrdokzk
rm /etc/init.d/iblrrdokzk-f

 4、木马删除,持续观察确认。

top
netstat -putlan

 

五、入侵原因及后续避免措施:

1、入侵原因:

根据系统日志发现系统存在暴力破解,lastb中很多登录错误记录;

根据history,防火墙确实存在被关闭过的情况,具体谁关闭不知(多人拥有该设备登录方式)。

2、后续避免措施:(监控为主)

a)人为:人为安全意识提高。

b)监控:加入zabbix监控,自定义了一个监控项,告警触发(功能:可以通公网设备,iptables状态关闭,则立刻告警)

监控脚本,仅供参考:

[root@localhost ~]# more iptables.status.sh 
#!/bin/bash
#pzzning
#20181217

#check iptables status

timeout 2 ping -c1 114.114.114.114 >/dev/null;

if [ $? -eq 0 ] ;then 

    /sbin/service iptables status>/dev/null;

    if [ $? -eq 0 ] ;then
        #echo ok
        echo 1
    else
        #echo warning
        echo 0
    fi
else
    echo 1
fi

 

 

 木马查杀参考:

https://cloud.tencent.com/developer/article/1114996

https://www.baidufe.com/item/e972015c88715fd8cd52.html

 

posted on 2018-12-18 00:20  pzzning  阅读(721)  评论(0编辑  收藏  举报