|
一、背景
晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。
我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。
二、发现并追踪处理
1、查看流量图发现问题
查看的时候网页非常卡,有的时候甚至没有响应。
2、top动态查看进程
我马上远程登录出问题的服务器,远程操作很卡,网卡出去的流量非常大,通过top发现了一个异常的进程占用资源比较高,名字不仔细看还真以为是一个Web服务进程。
4、结束异常进程并继续追踪
killall -9 nginx1
rm -f /etc/nginx1
干掉进程之后,流量立刻下来了,远程也不卡顿了,难道删掉程序文件,干掉异常进程我们就认为处理完成了么?想想也肯定没那么简单的,这个是木马啊,肯定还会自己生成程序文件(果然不出我所料,在我没有搞清楚之前,后面确实又生成了)我们得继续追查。
5、查看登录记录及日志文件secure
通过命令last查看账户登录记录,一切正常。查看系统文件message并没有发现什么,但是当我查看secure文件的时候发现有些异常,反正是和认证有关的,应该是尝试连进来控制发包?
7、更多异常文件的发现
查看定时任务文件crontab并没有发现什么一次,然后查看系统启动文件rc.local,也没有什么异常,然后进入/etc/init.d目录查看,发现比较奇怪的脚本文件DbSecuritySpt、selinux。
想到这里,替换的命令应该很多,单靠我们去找肯定是解决不了的,我的建议最好是重装操作系统,并做好安全策略,如果不重装,我下面给一下我的方法,具体行不行有待验证。
三、木马手动清除
现在综合总结了大概步骤如下:
1、简单判断有无木马
#有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
#查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
2、上传如下命令到/root下
ps netstat ss lsof
3、删除如下目录及文件
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马程序
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
4、找出异常6�?8н[�4+N7B7J3&#rkRF�4(B*B; ���~�B*Z���~j�zs{:no73�4+�zsB;^/j�>&3Z�j�х�����j���"C#*/rB*B;"w/2["w/2[:/�7����7�2�Br&�j�B�7V6�B�r7*f%Crv�J3>��B;^/'�>�V'��4(�7�j�}�%�V�r"[*B�r7*f[':C*'�B;;^/��j�g
�%Crv�/B;g
sFr7*f��4(4(rr'��~Z��zsZ�3"g[�j�V6��s:'�w%����B91 ���~bBB*�Ov_J3B;^/�r'�zsB*gB3�s:'�w��zs�7�r'^j���kZ�ьй�g�F04(q}}��B*B91 ��"o"_>N4(ф7"���4)ьй�MMьLMM4)ьй�MMьLMM4)ьй�MMьLMM4)ьй�MMьйLMM4(4(�zsr�7�r'� B3WnмZ��~�bBr%v�fC���B;B;^/�7""B*��r'�j�r�B;b ��rZ��7"o&r�7�j�nSB7>["_�4(ф7"���4(х4(4(4(х4(4(4(х4(4(4(4(r3"C'�/R~*�4(&3>[7_^rB3�"C#*r�~OR�GB*�~�bB�k>[nSj�Z�B*�zsrB*gB*3Z�J3Σ�3�B*^B3j�B7��4(Fr7*fB; ��:Rv�r7*fj��76J3�R�Gr�3"Cj�F��2'�"�Cj�2��{:�*nZ�i%Crv�J3>j�g
G"[�s��OR3&3�76&�2�Bj�F"[�k2�i%Crv�j�g
/v&3�F��4(B;^/j����OR�bnr7*f�3"�CR2�.�n��n"Rrj���OR�rB�"�4(е聍顽х4( | 
转播
