木馬入侵查殺 linux
目 錄:
一、問題現象:
二、問題排查:
1、netstat 排查:
2、top查看:
3、lsof -c 命令排查:
4、確定中木馬了。
三、木馬查殺:
木馬1,清除:
木馬2,清除:
四、後續處理:
1、iptables檢查
2、cron檢查
3、chkconfig檢查
4、木馬刪除,持續觀察確認
五、入侵原因及後續避免措施:
1、入侵原因:
2、後續避免措施:(監控為主)
一、問題現象:
服務器登錄緩慢,遠程連接老是卡頓。
二、問題排查:
1、netstat 排查:
如圖:58.218.200.241 為未記錄不可信任ip地址。
2、top查看:
發現異常進程“acs” 和 “ljyhbsxuew”(此進程為隨機10位字母)
3、lsof -c 命令排查:
1) “acs”異常進程查看,如下圖:
- a) /root/acs為木馬文件(該木馬文件大小為1223123)
- b) 58.218.200.241 為攻擊源ip地址(本機地址被馬賽克了)
2) “ljyhbsxuew”異常進程查看,如下圖:(起初殺馬為殺幹凈,“ljyhbsxuew”這個木馬重新生成了另一個進程名“iblrrdokzk”)
- a) /boot/iblrrdokzk 為木馬文件(該木馬文件大小為662840)
- b) 58.218.200.241 為攻擊源ip地址(本機地址被馬賽克了)
4、確定中木馬了。
根據以上的排查過程,基本可以確定服務器中了兩個木馬程序。
三、木馬查殺:
木馬1,清除:
1)查找木馬文件及木馬原文件:
(其中文件大小1223123為lsof -c獲得)
命令被替換了。
2)清除木馬文件
find / -size 1223123c |xargs rm -f rm -rf /usr/bin/bsd-port rm -rf /usr/bin/dpkgd rm -f /tmp/gates.lod rm -f /tmp/moni.lod rm -f /etc/rc.d/init.d/DbSecuritySpt rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt rm -f /etc/rc.d/init.d/selinux rm -f /etc/rc.d/rc1.d/S99selinux rm -f /etc/rc.d/rc2.d/S99selinux rm -f /etc/rc.d/rc3.d/S99selinux rm -f /etc/rc.d/rc4.d/S99selinux rm -f /etc/rc.d/rc5.d/S99selinux
3)修復木馬替換的命令文件:
#rz -ber 上傳正常命令文件到root用戶 cd /root chmod 755 lsof ps ss netstat cp /root/ps /bin cp /root/netstat /bin cp /root/lsof /usr/sbin cp /root/ss /usr/sbin
4)殺掉木馬進程:
ps -ef|grep ‘/root/acs‘ |grep -v grep |awk ‘{print $2}‘ |xargs kill -9 #或者 kill -9 2372(lsof中查看到的pid)
木馬2,清除:
1)查找木馬文件及木馬原文件:
(其中文件大小662840為lsof -c獲得)
2)清除木馬文件
方法1:(此方法需排除查找出來的文件無正常文件,不要誤刪正常文件)
find / -size 1223123c |xargs rm -f
方法2:
rm /lib/udev/udev -f rm /boot/-f
3)殺掉木馬進程:
ps -ef|grep "/boot/iblrrdokzk"|awk ‘{print $2}‘ |xargs kill -9
四、後續處理:
被入侵了,正常會被修改iptables配置和cron相關服務。
1、iptables檢查:
若修改了,請恢復正確iptables。(之前的iptables應該是存在漏洞的,請確認自己的iptables配置是否正確)
我這邊的iptables存在被修改現象,iptables已被重新配置。
2、cron檢查:(cd /etc && ls -l |grep cron)
查找這些最新被更新的文件,會發下一些定時腳本。
雖然腳本中的/lib/udev/udev木馬原文件被清除,這些腳本最好也清楚一下。
rm /etc/cron.hourly/cron.sh -f
#crontab文件,vi修改刪除異常部分
3、chkconfig檢查:根據網上的經驗,chkconfig中也會加有惡意的啟動腳本,需要刪除
chkconfig --del iblrrdokzk rm /etc/init.d/iblrrdokzk-f
4、木馬刪除,持續觀察確認。
top netstat -putlan
五、入侵原因及後續避免措施:
1、入侵原因:
根據系統日誌發現系統存在暴力破解,lastb中很多登錄錯誤記錄;
根據history,防火墻確實存在被關閉過的情況,具體誰關閉不知(多人擁有該設備登錄方式)。
2、後續避免措施:(監控為主)
a)人為:人為安全意識提高。
b)監控:加入zabbix監控,自定義了一個監控項,告警觸發(功能:可以通公網設備,iptables狀態關閉,則立刻告警)
監控腳本比較粗糙,僅供參考:
]# more iptables.status.sh
#!/bin/bash
#zhengning
#20181217
#check iptables status
timeout 2 ping -c1 114.114.114.114 >/dev/null;
if [ $? -eq 0 ] ;then
/sbin/service iptables status>/dev/null;
if [ $? -eq 0 ] ;then
#echo ok
echo 1
else
#echo warning
echo 0
fi
else
echo 1
fi
木馬查殺參考:
https://cloud.tencent.com/developer/article/1114996
https://www.baidufe.com/item/e972015c88715fd8cd52.html
木馬入侵查殺 linux