记一次linux下恶意软件清除记录

通过日常检查，发现某服务器上有不明进程与外部通信。使用了perl 作为运行环境。

首先更新部分软件包，防止部分系统命令已被篡改。

yum update lsof procps -y

lsof -i -Pn | grep perl

通过查找到pid

lsof -p pid

查找到该程序启动目录，以及相应程序。

安装clamav 通过使用clamav 对其扫描

/usr/local/clamav/bin/clamscan --infected  -r /tmp -l /var/log/clamscan.log

得出其属于恶意程序

/tmp/b17z.tar: Unix.Malware.Agent-1845690 FOUND

删除及杀掉相应进程后，后续观察后仍然发现不明进程与外部通信。

[root@xxx ~]# lsof -p xxxpid
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF       NODE NAME
b       15825  www  cwd    DIR    8,2        0  336856147 /tmp/.b17z (deleted)
b       15825  www  rtd    DIR    8,2     4096          2 /
b       15825  www  txt    REG    8,2   945732  336856148 /tmp/.b17z/b (deleted)
b       15825  www    0r   REG    8,2     1200  336856193 /tmp/.b17z/d.php (deleted)
b       15825  www    1w  FIFO    0,8      0t0 1021617137 pipe
b       15825  www    2w  FIFO    0,8      0t0 1020513194 pipe
b       15825  www    3r   REG    8,2       50  336856185 /tmp/.b17z/p (deleted)
b       15825  www    4r   REG    8,2   921683  336856201 /tmp/.b17z/i (deleted)
b       15825  www    8u   REG    8,2        0  336856133 /tmp/ZCUDBzxXVC (deleted)

 通过使用该命令观察，发现该恶意程序一直存活，并不停更新pid

lsof -i tcp -Pn|grep b |awk '{print $2}'|xargs -i lsof -p {}

ps axf

查找其父进程

ps -ef |grep `lsof -i tcp -Pn|grep b |awk '{print $2}'`

发现其父进程与 httpd 相关，检查 httpd 进程 确定部分进程关联/tmp/ZCUDBzxXVC 疑似该恶意程序通过 httpd 漏洞注入系统。

更新 httpd 版本。

整体处理过程充分体现了我的菜鸟程度，在摸索的过程中耗费了大量时间。