本文详细记录了一次服务器遭受木马病毒攻击的过程,包括病毒的入侵方式、表现形式及清除步骤。通过分析木马病毒如何自动修复和保护自身,以及如何深入系统核心替换关键命令,提供了有效的防御和清理策略。
中毒现象:
内到外的流量大,打DDOS
入侵方式:
通过SSH暴力破解
病毒分析:
木马病毒在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令。杀死该进程后,会再随机产生一个新的进程,删除这些木马文件后,会再重新生成新的木马文件。由此可以判断,木马病毒会自动修复,多个进程之间会互相保护,一旦删除和被杀,立即重新启动和复制。
首先注意到/tmp/.zl文件
[root@server120 tmp]# file .zl
zl: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
二进制文件,通过Strings查看一下
发现这个病毒会干掉其他的病毒,如下
DDOS功能
SYN@%s:%d
UDP@%s:%d
DNS@%s:%d#%s
WEB@%s:%d#%s
TCP@%s:%d#%s
查看网络连接,发现ls和ifconfig命令竟然监听了端口
查看可执行文件:
病毒文件为/usr/bin/hahidjqzxs和 /boot/xmbgyycoxb
/proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令
使用pstree可以看到真实的进程名称
按照修改时间排序查看系统服务,可以通过SSH日志和病毒的启动时间判断入侵的时间:
定时任务,查看/etc/crontab(不同于crontab -e的用户级别定时任务 ,/etc/crontab为系统级别的定时任务):
可以看到如下两条
然后检查/etc/cron.d、/etc/cron.daily、/etc/cron.hourly、/etc/cron.monthly
查看脚本内容
使用file查看都是可执行文件:
[root@DataNode105 cron]# file /lib/libudev.so
/lib/libudev.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
[root@DataNode105 cron]# file /lib/udev/udev
/lib/udev/udev: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
查看开机启动项,发现木马服务已添加到开机启动(/etc/init.d软链到了/etc/rc.d/init.d):
查看history,从hfs上下载木马
查看rc.local(/etc/rc.local软链到了/etc/rc.d/rc.local,rc.local为开启自启动服务,系统根据runlevel启动完rcX.d中的脚本之后,会调用rc.local脚本)
查看/sbin /bin /usr/sbin /usr/bin下的系统命令,发现部分被替换
发现lsof、ps、netstat等命令被替换掉了。
总结一下:
被感染的文件路径列表:
清理过程:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
