本文记录了一次服务器遭遇木马攻击后的排查与清除过程。通过监控发现异常流量并定位到可疑进程,最终找到并删除木马主进程及关联文件。
今天网站访问异常的慢,登录服务器,查看了一下网卡的流量,居然发送几个G的流量,网站访问不大,正常情况应该不会这么多。
马上sar -n DEV 1 10查看实时流量,还在向外发包,应该是被攻击成了别人的肉鸡了。
服务器就运行了一个Apache和mysql数据库,检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,lastlog查看发现有两个异常用户登录过服务器。
我赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看果然发现几个异常进程,不仔细看还真看不出来。
这是个什么进程呢,我每次ps -ef都不一样,一直在变动,进程号也一直在变动中,也看不了进程打开了什么文件,一时无从下手。
想到这里,我突然意识到这应该都是一些子进程,由一个主进程进行管理,所以看这些子进程是没有用的,即便我杀掉他们还会有新的生成,擒贼先擒王,先找一下主进程,我用top -d 1实时查看进程使用资源的情况,看看是不是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是苦苦寻找的木马主进程。
pstree查看果然是父进程。
我尝试杀掉这个进程,killall -9 mdddikjosx,可是杀掉之后ps -ef查看还是有那些子进程,难道没有杀掉?再次top -d 1查看,发现有出现了一个其他的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是木马了。
ls查看了一下计划任务目录,发现有个异常的sh脚本gcc.sh。
查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,我把有关的配置全部删掉,并且删掉/lib/libudev4.so.6。
在/etc/init.d/目录下面也发现了这个文件。
里面的内容是开机启动的信息,这个我也给删掉。
到此为止,没有新的木马进程生成,原理上说是结束掉了木马程序,后面的工作就是要清楚这些目录产生的文件,经过我寻找,首先清除/etc/init.d目录下面产生的木马启动脚本,然后清除/etc/rc#.d/目录下面的连接文件。
然后再清理/bin /usr/bin下面的文件。
注意:如果有病毒文件删除时提示无权限(rm: cannot remove 'xxxx' Permission denied),可以使用lsattr 命令(lsattr 文件):查看下是否有隐藏i属性,如果有“i”属性,使用chattr -i命令(chattr -i 文件):删除“i”隐藏属性以后再rm -rf删除。如果没有此属性,可以重启服务器再删除。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
