2. 程式人生 > >Linux伺服器中木馬(肉雞)手工清除方法(轉載)

Linux伺服器中木馬(肉雞)手工清除方法(轉載)

阿新 發佈:2019-01-24

由於自己也碰到過這種情況,剛好看到這篇文章,先轉載過來。的確蠻有用的哦。

首先劇透一下後門木馬如下:

(當然這是事後平靜下來後慢慢搜出來的,那個時候喝著咖啡感覺像個自由人)

木馬名稱

Linux.BackDoor.Gates.5

http://forum.antichat.ru/threads/413337/

 首先是下午14點左右有幾臺伺服器出現流量超高,平時只有幾百M的流量,那時候發現流量上G了,達到這個量第一感覺就是遭受了DDOS流量攻擊,那時候手上的伺服器比較多,出現幾臺並沒

有放在眼裡,覺得查查就可以出來結果。隨便說一句為了達到最好的效能,我們這些伺服器都沒有開防火牆(包括硬體及iptables),也就是伺服器一直處於裸奔的狀態。這些伺服器裸奔了

幾年一直沒有出現問題,看來linux伺服器安全這塊還是挺讓人滿意的。

開始也沒有什麼頭緒,就是ps查程序啊,netstat查埠號,iftop查流量,估計大家一開始出現這種情況都是這樣操作,又得劇透下(這樣做估計也是黑客希望的,顯然他們對我等非常瞭解

哈),一時也沒發現什麼異常,只是iftop發現我們的伺服器一直向外大量發包,對某個IP的流量能到達600多M,這時我們意識到伺服器被黑了,但是隻是當成了肉雞,去攻擊別的伺服器,當

然攻擊的IP也是一直在變化的,就好像有人在遠端控制一樣。

轉眼都快到下班時間了,這時大概有3臺伺服器有這種的情況,此時大家把各自了解的情況彙總了一下:

a、/bin/ps,/bin/netsta程式都是1.2M的大小,顯然是被人掉包了

b、/usr/bin/.dbus-daemon--system 程序還帶了一個點,跟哪個不帶點的很像,但終歸是假的,你咋不給真的刪掉替換呢,看來寫這種程式的人法律意識很強,要不然程式推廣起來了,死了

一大片CIA會放過他嗎

c、/etc/rc.local許可權改了,而且添加了一個開機啟動項

d、lsattr、chattr命令刪除了

e 、程序殺掉了立即又起來了這點很讓人頭痛

f、找到了一些最近修改的檔案,顯然這些都是黑客留下的

g、開機自動啟動檔案增加2個啟動項

剛開始程序殺了又起來,檔案刪了又自動生成,線上環境又沒有防火牆配置,無奈之下只好想了一個怪招,把/bin/bash重新命名一下,果然流量下來了,這種殺敵1萬自損8千的招果然有用。

其實這時候還沒有找到真正的木馬,但是已經有時間去分析查詢病毒源了,這3臺其中兩臺修改了bash名字,突然斷開了,這樣就登陸不了,只好重灌系統了。後來這臺我就慢慢查找了,差不

多都找到了,然後刪除。這時心情大好,準備寫博文記錄一下,畢竟這是線上環境第一次遭遇木馬。

大概22點的時候,博文寫了一半,突然又接到故障,這次一下子又7臺伺服器出故障了,好心情一下子沒了,原來那3臺只是個開場白,真正的戰鬥還沒有開始。所以後面的部落格是續上的,調

調要是有些不一樣將就的看吧。

由於這段時間網上查了些資料,慢慢的對這個木馬熟悉起來了。這時我上傳了一些正常的二進位制程式如:ls,netstat,chattr,lsattr這樣用自動的程式一下子就查到了木馬程式,我分析了一

下,這些木馬程式名字變著花樣來,但萬變不離其宗,名字都寫在/etc/rc.d/init.d/DbSecuritySpt和/etc/rc.d/init.d/selinux裡面,而且名字和正常的服務很像。

有/usr/local/zabbix/sbin/zabbix_AgentD、/usr/bin/bsd-port/getty、/usr/bin/dpkgd/ps、/usr/bin/.dbus-daemon--system、/usr/bin/.sshd、/usr/bin/sshd反正你係統有什麼類似的

程序在執行,他就改成差不多的來迷惑你,其實他們都是一個程式大小也一樣。

現在就是刪除這些檔案,殺死這些程序,說個小插曲由於某臺伺服器漏掉了一些沒有刪,第二天有激活了,這些東西當你用上面的命令時就可以啟用,所以要千萬小心仔細。在大概凌晨4點多

的時候這7臺伺服器的木馬清理了差不多了,現在綜合總結了大概步驟如下:

0,簡單判斷有無木馬

有無下列檔案

cat /etc/rc.d/init.d/selinux

cat /etc/rc.d/init.d/DbSecuritySpt

ls /usr/bin/bsd-port 

ls /usr/bin/dpkgd

檢視大小是否正常

ls -lh /bin/netstat

ls -lh /bin/ps

ls -lh /usr/sbin/lsof

ls -lh /usr/sbin/ss

1,上傳如下命令到/root下

lsattr   chattr  ps  netstat  ss lsof

2,刪除如下目錄及檔案

rm -rf /usr/bin/dpkgd  (ps netstat lsof ss)

rm -rf /usr/bin/bsd-port  (木馬程式)

rm -f  /usr/local/zabbix/sbin/zabbix_AgentD (木馬程式)

rm -f  /usr/local/zabbix/sbin/conf.n

rm -f  /usr/bin/.sshd 

rm -f  /usr/bin/sshd 

rm -f  /root/cmd.n

rm -f  /root/conf.n

rm -f  /root/IP

rm -f  /tmp/gates.lod   

rm -f  /tmp/moni.lod

rm -f  /tmp/notify.file  程式

rm -f  /tmp/gates.lock   程序號

rm -f  /etc/rc.d/init.d/DbSecuritySpt(啟動上述描述的那些木馬變種程式)

rm -f  /etc/rc.d/rc1.d/S97DbSecuritySpt

rm -f  /etc/rc.d/rc2.d/S97DbSecuritySpt

rm -f  /etc/rc.d/rc3.d/S97DbSecuritySpt

rm -f  /etc/rc.d/rc4.d/S97DbSecuritySpt

rm -f  /etc/rc.d/rc5.d/S97DbSecuritySpt

rm -f  /etc/rc.d/init.d/selinux(預設是啟動/usr/bin/bsd-port/getty)

rm -f  /etc/rc.d/rc1.d/S99selinux

rm -f  /etc/rc.d/rc2.d/S99selinux

rm -f  /etc/rc.d/rc3.d/S99selinux

rm -f  /etc/rc.d/rc4.d/S99selinux

rm -f  /etc/rc.d/rc5.d/S99selinux

3,找出下列程式程序號並殺死

top 一眼就看到那個木馬cpu利用率特高

/root/ps aux |grep -i jul29(主要是最近開啟的程序)

/root/ps aux |grep -i jul30

/root/ps aux |grep -i jul31

/root/ps aux |grep sshd

/root/ps aux |grep ps

/root/ps aux |grep getty

/root/ps aux |grep netstat

/root/ps aux |grep lsof

/root/ps aux |grep ss

/root/ps aux |grep zabbix_Agetntd

/root/ps aux |grep .dbus

舉例如下:

/root/ps aux |grep getty

root      6215  0.0  0.0  93636   868 ?        Ssl  20:54   0:05 /usr/bin/bsd-port/getty

kill 6215

/root/ps aux |grep zabbix_AgentD

root      2558 71.0  0.0 106052  1048 ?        Ssl  20:54 117:29 ./zabbix_AgentD

kill 2558

/root/ps aux |grep "/dpkgd/ps"

root     11173 67.8  0.0 105924  1020 ?        Ssl  01:39   8:00 /usr/bin/dpkgd/ps -p 11148 -o comm=

kill 11173

注意如果kill後刪除後還會再出現就這樣操作(破壞木馬程式)

>/usr/bin/dpkgd/ps && /root/chattr +i /usr/bin/dpkgd/ps

>/usr/bin/bsd-port/getty && /root/chattr +i /usr/bin/bsd-port/getty

4,刪除含木馬命令並重新安裝(或者把上傳的正常程式複製過去也行)

ps

/root/chattr  -i -a /bin/ps && rm /bin/ps -f

yum reinstall procps -y

cp /root/ps /bin

netstat 

 /root/chattr -i -a /bin/netstat && rm /bin/netstat -f

yum reinstall net-tools    -y

cp /root/netstat /bin

lsof

/root/chattr  -i -a /bin/lsof && rm /usr/sbin/lsof -f

yum reinstall lsof -y

cp /root/lsof /usr/sbin

chattr && lsattr

yum -y reinstall e2fsprogs

ss

/root/chattr  -i -a /usr/sbin/ss && rm /usr/sbin/ss -f

yum -y reinstall iproute

cp /root/ss /usr/sbin

修改下面兩個程式的許可權,這個是意外發現有的改了這兩個程式的許可權,讓你發現了木馬既不能下載正常程式也不能殺程序

/usr/bin/killall 

/usr/bin/wget

另外他們還修改了DNS怕我們識別不了有的域名吧,想得很周到哈

cat /etc/resolv.conf 

nameserver 8.8.8.8

nameserver 8.8.4.4

5,工具掃描

安裝防毒工具

安裝

yum -y install clamav*

啟動

service clamd restart 

更新病毒庫

freshclam  

掃描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log

clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log

clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log

clamscan -r  --remove  /usr/bin/bsd-port 

clamscan -r  --remove  /usr/bin/ 

clamscan -r --remove  /usr/local/zabbix/sbin

檢視日誌發現

/bin/netstat: Linux.Trojan.Agent FOUND為病毒

grep FOUND /root/usrclamav.log

/usr/bin/.sshd: Linux.Trojan.Agent FOUND

/usr/sbin/ss: Linux.Trojan.Agent FOUND

/usr/sbin/lsof: Linux.Trojan.Agent FOUND

6,加強自身安全

但是此時還不知道系統入侵的原因,只能從兩個方面考慮:暴力破解和系統及服務漏洞

a、yum update  更新系統(特別是bash、openssh和openssl)

b、關閉一些不必要的服務

c、設定ssh普通使用者登陸並用hosts.all、hosts.deny限制登陸的網段

d、記錄登陸系統後操作的命令

發現有如下操作

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/messages

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/httpd/access_log

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/httpd/error_log

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/xferlog

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/secure

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/auth.log

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/user.log

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/wtmp

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/lastlog

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/btmp

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/run/utmp

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/spool/mail/root

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > ./.bash_history

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]rm -rf /root/.bash_history

Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]

7,木馬分析

後續,我把木馬程式轉換成了16進位制的,大概看了一眼,發現只是一個木馬並能DDOS攻擊,確實沒有刪除伺服器配置,對伺服器沒有造成太大的危害。

相關推薦

Linux伺服器木馬肉雞手工清除方法轉載

由於自己也碰到過這種情況,剛好看到這篇文章,先轉載過來。的確蠻有用的哦。 首先劇透一下後門木馬如下: (當然這是事後平靜下來後慢慢搜出來的,那個時候喝著咖啡感覺像個自由人) 木馬名稱 Linux.BackDoor.Gates.5 http://forum.ant

Linux伺服器上的禪道遷移及升級方法Linux to Linux

由於阿里雲伺服器(Linux系統)到期停用,故需要將部署在該伺服器上的禪道遷移到新的Linux伺服器上。另外,藉此機會,正好可以對舊版禪道進行一次升級。下面總結此次遷移和升級的具體操作方法。 一、禪道遷移方法 1. 在目標伺服器上,安裝相同版本的zbox一鍵安裝包,具體安裝步驟可參考博文《如何在Linux

linux服務器木馬手工清除方法

服務器安全 linux 防火墻 文章 自由人 由於自己也碰到過這種情況,剛好看到這篇文章,先轉載過來。的確蠻有用的哦。首先劇透一下後門木馬如下:(當然這是事後平靜下來後慢慢搜出來的,那個時候喝著咖啡感覺像個自由人)木馬名稱Linux.BackDoor.Gates.5http://forum

伺服器安裝jdk1.8版本的安裝步驟親測有效轉載請註明出處

因為在烏班圖的系統中由於只能註冊普通的使用者,不能註冊root使用者。所以需要先把jdk-8u11-linux-x64.tar.gz的安裝包拷貝到普通使用者的許可權中去。我們可以使用WinSCP視覺化工具直接對壓縮包進行拖拽到指定的目錄下,也可以使用Xshell工具使用命令列

玩轉Linux:學習Linux過程遇到的各種問題和小技巧每天更新

目錄: 0.常用指令(最常更新) 1.虛擬機器無法聯網 解決辦法: ①開啟“計算機管理”頁面 ②選擇“服務和應用程式” ③選擇“服務” ④啟動“VMware DHCP Service”和“VMware NAT Serv

按照字符串的數組進行排序的方法python

正則表達 mil uil () false 解決 lam font .cn 有時候處理數據時,想要按照字符串中的數字的大小進行排序。 譬如,存在一組記錄文件,分別為‘1.dat’,‘2.dat‘... 當我把該文件夾中的所有記錄文件名讀到一個列表中,這些字符串的排列方式為:

JS來創建對象的方法--一閃而過

list text body 年齡 style -s 冒號 pan bsp <body><script type="text/jscript">   //使用new來創建   var stu=new Object();     stu.name="

PHP調用SVN命令更新網站方法解決文件名包含中文更新失敗的問題

設置 php tro 參數 名稱 www 文件 命令 更新失敗 想說寫一個通過網頁就可以執行 SVN 升級的程序,結果並不是我想得那樣簡單,有一些眉角需要註意的說。 先以 Apache 的用戶帳號執行 SVN checkout,這樣 Apache 才有 SVN 的鏈結權力,

***在Linux環境下mysql的root密碼忘記解決方法三種-推薦第三種

href containe 完全 mys init.d 操作 root ubunt upd MySQL密碼的恢復方法之一 1.首先確認服務器出於安全的狀態,也就是沒有人能夠任意地連接MySQL數據庫。 因為在重新設置MySQL的root密碼的期間,MySQL數據庫完全出於沒

spring 事務處理,同一個類:A方法無事務調B方法有事務,事務不生效問題

public class MyEntry implements IBaseService{ public String A(String jsonStr) throws Exception{ UserInfo user = null; UserDetail userDetail = nul

linux伺服器不支援soap及bcmul函式的結局方法

新的程式裡用了webserice介面,部到伺服器,先是提示:bcmul() 函式不可用,網上搜索一番,得知這是php的高精度函式,需要在編譯php的時候加入此模組,於是在編譯腳本里增添 “–enable-bcmath” 後重新編譯、重啟apache然後此錯誤解決; 然後有遇到報錯“Class ‘SoapCl

linux伺服器Jenkins整合git、Gradle持續構建Springboot專案

Jenkins是用java編寫的開源持續整合工具,目前被國內外各公司廣泛使用。本章教大家如何在linux伺服器中使用Jenkins自動釋出一個可作為linux服務釋出的Springboot專案。 自動構建需要經過如下步驟:從git倉庫下載程式碼、使用Gradle進行構建、使用SSH推送到另

資料結構,幾種樹的結構表示方法C語言實現

//***************************************** //樹的多種結構定義 //***************************************** #define MAX_TREE_SIZE 100 typedef int TempType;

CSS常用到的一些解決問題方法整理一些真正有效能夠使用到專案方法等待不斷更新積累

1.如何強制文字換行 {white-space:normal; width:200px; } 2.高度不固定的div,裡面的文字垂直居中 // 加在父級div中 垂直居中:align-items:center; display: -webkit-flex; 水平居中:justify-co

【畢業寄語】逆境的成長更需要態度和方法無雞湯

引子 python自動化測試開發班結課了,不知道為什麼有很多的不捨但卻表達不出來,難道是年紀大了?好像現在更多的是內心那種默默的不捨。也許真的年紀大了吧。唉。 每個班結課基本都會寫一個畢業寄語,一個是總結下這個班,一個是給學員留個紀念。也許一篇文章沒有多大紀念價值,但這幾個月的學習肯定會讓你有

windows上傳本地專案至linux伺服器的gitlab

1、安裝git:    https://git-scm.com/downloads          linux伺服器中安裝gitlab:  https://blog.csdn.net/

js常用到的一些解決問題方法整理一些真正有效能夠使用到專案方法等待不斷更新積累

將字串中某個字串刪除 方法一:使用replace函式替換(比較建議使用 //去除字串中含有的- var str = '178-1980'; //注意:此處不可寫作:str.replace('-', '');要寫作:str = str.replace('-', ''); // rep

伺服器上無法呼叫Office元件的解決方法HRESULT:0X800A03EC異常

  HRESULT:0X800A03EC的異常,經過多番查詢,終於找到了解決方法,在 Windows 2008 中, 如果以 SYSTEM 使用者跑, 系統會去尋找 SYSTEM 這個使用者的 Profile 目錄, 而這個使用者是不能按照互動使用者登入的,而且在處理 Excel 檔案的過程中,

JavaScript陣列Array的排序方法reverse和sort

陣列中已經存在有兩個可以直接使用的排序方法: reverse()和 sort() 這兩個方法的返回值都是經過重排序之後的陣列 reverse ( ) reverse( ) 方法的作用很簡單,就是反轉陣列的順序。 var colors = new Array("red", "

ThinkPad T480筆記本Win10+Ubuntu16.04雙系統安裝方法UEFI引導模式

——————————————————————————分割線—————————————————————————— 本人有一臺ThinkPad T480型膝上型電腦,有一塊128G的固態硬碟和512G的機械硬碟,原廠Win10系統安裝在固態硬碟上,現在需在機械硬