linux 病毒 sfewfesfs
分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow
也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!
由於昨天在內網伺服器A不小心rm -fr / ,導致伺服器A完蛋,重灌系統後,不知道啥原因,區域網癱瘓不能上網,最後發現內網伺服器A的一個程序sfewfesfs cpu 300%。
1、病毒現象
伺服器不停向外網傳送資料包,佔網絡帶寬,甚至導致路由器頻繁重啟。
1) 通過top 或者ps -ef 發現名為sfewfesfs的程序還有.sshddXXXXXXXXXXX(一串隨機數字)的程序。/etc/下能看到名為sfewfesfs,nhgbhhj等多個奇怪名字的檔案。重啟後一插網線立即開始執行
2)通過sar -n DEV 就可以看到往外發包的情況。
3)netstat -natlp 可以看到使用哪些埠
2、分析可能原因
曾一度懷疑是安裝u盤的問題,安裝盤是u盤製作的系統安裝引導盤,裝入系統之前是格式化了。看了網上的資料,應該不是,U盤的問題。
應該開放了伺服器的ssh的22埠,並且開放ssh的遠端root登陸。這個伺服器又可以通過路由器代理進來,並且登陸密碼也不是那麼複雜。可能被黑了。
22埠的root許可權還是不要開了,no zuo no die,頭一次經歷linux中毒曾一度以為是很安全的作業系統。
3、解決辦法
1)先看看被攻擊者修改過的:/etc/rc.local檔案:
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
這是修改過的內容。
這裡可以看到,他啟動一系列的程序,並且最後還把防火牆給你關掉了。
那現在好辦了。先找到以上對應的所有檔案全部刪除。
2)刪除病毒檔案sfewfesfs
進到/etc/ 下面找到與程序對應的檔名 刪掉。
sudo chattr -i /etc/sfewfesfs*
sudo rm -rf /etc/sfewfesfs*
3) 刪除.SSH2和.SSHH2
這個時候還是不行的,因為這程式啟動後,會衍生出很多的程序。這個時候,找到/etc/下的.SSH2和.SSHH2刪掉。之後找到/tmp/下面所有以.SSH開始的檔案,全部刪掉。
用ls -al看到.SSH2隱藏檔案,刪除
rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;
/etc和/tmp可能有.sshdd1401029348隱藏檔案 用ls -al看到,刪除
sudo rm -rf /tmp/.sshdd140*
4)刪除計劃任務:
到/var/spool/cron/下面把root 和root.1刪掉。
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1
這個時候,病毒程式基本清楚完整了。
5)22埠的root許可權還是不要開了:
修改外網對映22埠到XXXX
修改root密碼
passwd
關閉root的22許可權
在/etc/ssh/sshd_config檔案中找到PermitRootLogin去掉#改成
PermitRootLogin no