解決linux病毒導致頻寬跑滿的解決過程 ,可以參考參考
案例描述
早上接到IDC的電話,說我們的一個網段IP不停的向外發包,應該是被攻擊了,具體哪個IP不知道,讓我們檢查一下。
按理分析及解決辦法
首先我們要先確定是哪臺機器的網絡卡在向外發包,還好我們這邊有zabbix監控,我就一臺一臺的檢查,發現有一臺的流量跑滿了,問題應該出現在這臺機器上面。
我登入到機器裡面,查看了一下網絡卡的流量,我的天啊,居然跑了這個多流量。
這臺機器主要是運行了一個tomcat WEB服務和oracle資料庫,問題不應該出現在WEB服務和資料庫上面,我檢查了一下WEB日誌,沒有發現什麼異常,檢視資料庫也都正常,也沒有什麼錯誤日誌,檢視系統日誌,也沒有看到什麼異常,但是系統的登入日誌被清除了,
我趕緊查看了一下目前執行的程序情況,看看有沒有什麼異常的程序,一檢視,果然發現幾個異常程序,不仔細看還真看不出來,這些程序都是不正常的。
這是個什麼程序呢,我每次ps -ef都不一樣,一直在變動,程序號一一直在變動中,我想看看程序打開了什麼檔案都行,一時無從下手,想到這裡,我突然意識到這應該都是一些子程序,由一個主程序進行管理,所以看這些子程序是沒有用的,即便我殺掉他們還會有新的生成,擒賊先擒王,我們去找一下主程序,我用top d1實時檢視程序使用資源的情況,看看是不是有異常的程序佔用cpu記憶體等資源,發現了一個奇怪的程序,平時沒有見過。這個應該是我們尋找的木馬主程序。
我嘗試殺掉這個程序,
我們看看他到底是什麼,”which obgqtvdunq”發現這個命令在/usr/bin下面,多次殺死之後又重新在/usr/bin目錄下面生成,想到應該有什麼程式在監聽這個程序的狀態也可能有什麼定時任務,發現程序死掉在重新執行,我就按照目前的思路查看了一下/etc/crontab定時任務以及/etc/啟動指令碼,均發現有問題。
可以看到裡面有個定時任務,這個不是我們設定的,檢視一下內容更加奇怪了,這個應該是監聽程式死掉後來啟動的,我們這邊把有關的配置全部刪掉,並且刪掉
在/etc//目錄下面也發現了這個檔案。
裡面的內容是開機啟動的資訊,這個我們也給刪掉。
以上兩個是一個在開機啟動的時候啟動木馬,一個是木馬程式死掉之後啟動木馬,但是目前我們殺掉木馬的時候木馬並沒有死掉,而是立刻更換名字切換成另一個程式檔案執行,所以我們直接殺死是沒有任何用處的,我們目的就是要阻止新的程式檔案生成,首先我們取消程式的執行許可權並把程式檔案成成的目錄/usr/bin目錄鎖定。
chmod 000 /usr/bin/obgqtvdunqchattr +i /usr/bin
然後我們殺掉程序”killall -9 obgqtvdunq”,然後我們在檢視/etc//目錄,看到他又生成了新的程序,並且目錄變化到了/bin目錄下面,和上面一樣,取消執行許可權並把/bin目錄鎖定,不讓他在這裡生成,殺掉然後檢視他又生成了新的檔案,這次他沒有在環境變數目錄裡面,在/tmp裡面,我們把/tmp目錄也鎖定,然後結束掉程序。
到此為止,沒有新的木馬程序生成,原理上說是結束掉了木馬程式,後面的工作就是要清楚這些目錄產生的檔案,經過我尋找,首先清除/etc/目錄下面產生的木馬啟動指令碼,然後清楚/etc/rc#.d/目錄下面的連線檔案。
後來我檢視/etc目錄下面檔案的修改時間,發現ssh目錄下面也有一個新生成的檔案,不知道是不是有問題的。
清理差不多之後我們就要清理剛才生成的幾個檔案了,一個一個目錄清楚,比如”chattr -i /tmp”,然後刪除木馬檔案,以此類推刪除/bin、/usr/bin目錄下面的木馬,到此木馬清理完畢。
快速清理木馬流程
假設木馬的名字是nshbsjdy,如果top看不到,可以在/etc/目錄下面檢視
1、首先鎖定三個目錄,不能讓新木馬檔案產生
chmod 000 /usr/bin/nshbsjdychattr +i /usr/binchattr +i /binchattr +i /tmp2、刪除定時任務及檔案以及開機啟動檔案刪除定時任務及檔案rm -f /etc//nshbsjdyrm -f /etc/rc#.d/木馬連線檔案
3、殺掉木馬程序
killall -9 nshbsjdy
4、清理木馬程序chattr -i /usr/binrm -f /usr/bin/nshbsjdy
處理完成之後再一次檢查一下以上各目錄,尤其是/etc目錄下面最新修改的檔案。
5、如果是rootkit木馬,可以用下面的軟體進行檢查
軟體chkrootkit:軟體RKHunter:
安裝都非常簡單,我使用RKHunter簡單檢查了一下,沒有發現什麼重大問題,但是這也並不表示沒有什麼問題,因為我們的檢測命令也是依賴一些系統的命令,如果系統的命令被感染那是檢測不出來的,最好是系統的命令備份一份檢查,再不行就備份資料重灌嘍。