1. 程式人生 > >木馬入侵查殺 linux

木馬入侵查殺 linux

連接 ping 中文 image mar kcon 關閉 his http

目 錄:

一、問題現象:

二、問題排查:

1、netstat 排查:

2、top查看:

3、lsof -c 命令排查:

4、確定中木馬了。

三、木馬查殺:

木馬1,清除:

木馬2,清除:

四、後續處理:

1、iptables檢查

2、cron檢查

3、chkconfig檢查

4、木馬刪除,持續觀察確認

五、入侵原因及後續避免措施:

1、入侵原因:

2、後續避免措施:(監控為主)

一、問題現象:

服務器登錄緩慢,遠程連接老是卡頓。

二、問題排查:

1、netstat 排查:

如圖:58.218.200.241 為未記錄不可信任ip地址。

技術分享圖片

2、top查看:

發現異常進程“acs” 和 “ljyhbsxuew”(此進程為隨機10位字母)

技術分享圖片

3、lsof -c 命令排查:

1) “acs”異常進程查看,如下圖:

  • a) /root/acs為木馬文件(該木馬文件大小為1223123)
  • b) 58.218.200.241 為攻擊源ip地址(本機地址被馬賽克了)

技術分享圖片

2) “ljyhbsxuew”異常進程查看,如下圖:(起初殺馬為殺幹凈,“ljyhbsxuew”這個木馬重新生成了另一個進程名“iblrrdokzk”)

  • a) /boot/iblrrdokzk 為木馬文件(該木馬文件大小為662840)
  • b) 58.218.200.241 為攻擊源ip地址(本機地址被馬賽克了)

技術分享圖片

技術分享圖片

4、確定中木馬了。

根據以上的排查過程,基本可以確定服務器中了兩個木馬程序。

三、木馬查殺:

木馬1,清除:

1)查找木馬文件及木馬原文件:

(其中文件大小1223123為lsof -c獲得)

技術分享圖片

命令被替換了。

技術分享圖片

2)清除木馬文件

find / -size 1223123c  |xargs rm -f
rm -rf /usr/bin/bsd-port
rm -rf /usr/bin/dpkgd
rm -f /tmp/gates.lod 
rm -f /tmp/moni.lod 
rm -f /etc/rc.d/init.d/DbSecuritySpt
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt 
rm -f /etc/rc.d/init.d/selinux
rm -f /etc/rc.d/rc1.d/S99selinux 
rm -f /etc/rc.d/rc2.d/S99selinux 
rm -f /etc/rc.d/rc3.d/S99selinux 
rm -f /etc/rc.d/rc4.d/S99selinux 
rm -f /etc/rc.d/rc5.d/S99selinux 

3)修復木馬替換的命令文件:

#rz -ber 上傳正常命令文件到root用戶
cd /root
chmod 755 lsof ps ss netstat
cp /root/ps /bin
cp /root/netstat /bin
cp /root/lsof /usr/sbin
cp /root/ss /usr/sbin

4)殺掉木馬進程:

ps -ef|grep ‘/root/acs‘ |grep -v grep |awk ‘{print $2}‘ |xargs kill -9 #或者 kill -9 2372(lsof中查看到的pid) 

木馬2,清除:

1)查找木馬文件及木馬原文件:

(其中文件大小662840為lsof -c獲得)

技術分享圖片

2)清除木馬文件

方法1:(此方法需排除查找出來的文件無正常文件,不要誤刪正常文件)
find / -size 1223123c |xargs rm -f

方法2:
rm /lib/udev/udev -f rm /boot/-f

3)殺掉木馬進程:

ps -ef|grep "/boot/iblrrdokzk"|awk ‘{print $2}‘ |xargs kill -9

四、後續處理:

被入侵了,正常會被修改iptables配置和cron相關服務。

1、iptables檢查:

若修改了,請恢復正確iptables。(之前的iptables應該是存在漏洞的,請確認自己的iptables配置是否正確)

我這邊的iptables存在被修改現象,iptables已被重新配置。

2、cron檢查:(cd /etc && ls -l |grep cron)

查找這些最新被更新的文件,會發下一些定時腳本。

雖然腳本中的/lib/udev/udev木馬原文件被清除,這些腳本最好也清楚一下。

技術分享圖片

技術分享圖片

rm /etc/cron.hourly/cron.sh -f
#crontab文件,vi修改刪除異常部分

3、chkconfig檢查:根據網上的經驗,chkconfig中也會加有惡意的啟動腳本,需要刪除

chkconfig --del iblrrdokzk
rm /etc/init.d/iblrrdokzk-f

4、木馬刪除,持續觀察確認。

top
netstat -putlan

五、入侵原因及後續避免措施:

1、入侵原因:

根據系統日誌發現系統存在暴力破解,lastb中很多登錄錯誤記錄;

根據history,防火墻確實存在被關閉過的情況,具體誰關閉不知(多人擁有該設備登錄方式)。

2、後續避免措施:(監控為主)

a)人為:人為安全意識提高。

b)監控:加入zabbix監控,自定義了一個監控項,告警觸發(功能:可以通公網設備,iptables狀態關閉,則立刻告警)

監控腳本比較粗糙,僅供參考:

]# more iptables.status.sh 
#!/bin/bash
#zhengning
#20181217

#check iptables status

timeout 2 ping -c1 114.114.114.114 >/dev/null;

if [ $? -eq 0 ] ;then 

    /sbin/service iptables status>/dev/null;

    if [ $? -eq 0 ] ;then
        #echo ok
        echo 1
    else
        #echo warning
        echo 0
    fi
else
    echo 1
fi 

木馬查殺參考:

https://cloud.tencent.com/developer/article/1114996

https://www.baidufe.com/item/e972015c88715fd8cd52.html

木馬入侵查殺 linux