>安全类问题  > 

linux木马清理(教程2)

一、背景
查看有台服务器流量跑的很高,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包,趁这次机会把发现过程记录一下。

 

二、发现并追踪处理

1、查看流量图发现问题

查看的时候网页非常卡,有的时候甚至没有响应。

1.jpg

2、top动态查看进程

 我马上远程登录出问题的服务器,远程操作很卡,网卡出去的流量非常大,通过top发现了一个异常的进程占用资源比较高,名字不仔细看还真以为是一个Web服务进程。

2.jpg

3、ps命令查看进程的路径

发现这个程序文件在/etc目录下面,是个二进制程序。

3.jpg

4、结束异常进程并继续追踪

killall -9 nginx1
rm -f /etc/nginx1

干掉进程之后,流量立刻下来了,远程也不卡顿了,难道删掉程序文件?想想也肯定没那么简单的,这个是木马,肯定还会自己生成程序文件,我们得继续追查。
 

5、查看登录记录及日志文件secure

通过命令last查看账户登录记录,一切正常。查看系统文件message并没有发现什么,但是当我查看secure文件的时候发现有些异常,反正是和认证有关的,应该是尝试连进来控制发包。

 

6、再次ps查看进程

其实第一次ps的时候就有这个问题,那时候没有发现,第二次是查看每个进程,自习寻找不太正常的进程,发现了一个奇怪的ps进程。

4.jpg我找了一台正常的机器,查看了一下ps命令的大小,正常的大约是81KB,然后这台机器上面的ps却高达1.2M,命令文件肯定是被替换了。

5.jpg然后进入另一个ps的目录,看到有如下几个命令,然后我有查询了一下系统的这几个命令,发现都变得很大,都达到了1.2M,这些系统命令文件肯定是都被替换了。

6.jpg7、更多异常文件的发现

   查看定时任务文件crontab并没有发现什么一次,然后查看系统启动文件rc.local,也没有什么异常,然后进入/etc/init.d目录查看,发现比较奇怪的脚本文件DbSecuritySpt、selinux。

7.jpg第一个文件可以看出他就是开机启动那个异常文件的,第二个应该和登录有关,具体不是很清楚,反正肯定是有问题的。

8.jpg既然和登录有关,那就找和ssh相关的,找到了下面的一个文件,是隐藏文件,这个也是木马文件,我们先记录下来,这样程序名字都和我们的服务名字很相近,就是为了迷惑我们,他们的大小都是1.2M,他们有可能是一个文件。

9.jpg我有看了一下木马喜欢出现的目录/tmp,也发现了异常文件,从名字上感觉好像是监控木马程序的。

10.jpg想到这里,替换的命令应该很多,单靠我们去找肯定是解决不了的,我的建议最好是重装操作系统,并做好安全策略,如果不重装,下面给一下我的方法,具体有待验证。

 

三、木马手动清除

现在综合总结了大概步骤如下:

1、简单判断有无木马

11.jpg

2、上传如下命令到/root下

ps netstat ss lsof


3、删除如下目录及文件ps netstat ss lsof

12.jpg

4、找出异常程序并杀死

13.jpg

5、删除含木马命令并重新安装(或者把上传的正常程序复制过去也行)

    我自己重新安装好像不行,我是找的正常的机器复制的命令。

14.jpg

四、杀毒工具扫描

1、安装杀毒工具clamav
yum install clamav clamav-milter -y

2、启动服务
service clamd restart

3、更新病毒库service clamd restart
由于ClamAV不是最新版本,所以有告警信息。可以忽略或升级最新版本。

15.jpg

4、扫描方法

 可以使用clamscan -h查看相应的帮助信息
16.jpg
5、查看日志发现

把发现的命令删掉替换正常的

17.jpg


以上是否解决了您的问题