现象:
狂往外发包,拥堵网络,目前发现使用端口号为7011、7022、7033。当然CPU也是相当高。
ps -ef 发现 sdmfdsfhjfe gfhddsfew sdmfdsfhjfe 等等之类奇异进程闪烁。
解决1:
1、进到/etc/ 下面找到与进程对应的文件名 删掉。
sudo chattr -i /etc/sfewfesfs*
sudo rm -rf /etc/sfewfesfs*
2、到/var/spool/cron/下面把root 和root.1删掉。
重启。
解决2:
在网上查询了一下,各种教程都不是那么的全。该病毒又很变态。
在这里他的相关机制就不研究了。关键看如何删除:::
先看看被攻击者修改过的:/etc/rc.local文件。
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /root/
./youta&
./youni&
/etc/init.d/iptables stop
这是修改过的内容。
这里可以看到,他启动一系列的进程,并且最后还把放火墙给你关掉了。
那现在好办了。先找到以上对应的所有文件全部删除。
这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。
这个时候,病毒程序基本清楚完整了,但是,防火墙还是会被关闭。那你得看定时任务的问题了。
最后记得清除被修改过的/etc/rc.local文件。
第一次中linux病毒。感觉还是挺爽的。
系统:centos
症状:不停的向外网发送数据包,导致路由器频繁重启。查看进程可以看到多出的很多进程。用netstat -atnpl一看有很多活动的连接。
原因分析:由于开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。并且登陆密码也不是那么复杂。可能被黑了。
linux安全一定不容小觑。
做如下删除操作。具体要以rc.local中的被添加内容来定。
rm -rf /tmp/sfewfesfs;
rm -rf /tmp/gfhjrtfyhuf;
rm -rf /tmp/rewgtf3er4t;
rm -rf /tmp/fdsfsfvff;
rm -rf /tmp/smarvtd;
rm -rf /tmp/whitptabil;
rm -rf /tmp/gdmorpen;
rm -rf /etc/sfewfesfs;
rm -rf /etc/gfhjrtfyhuf;
rm -rf /etc/rewgtf3er4t;
rm -rf /etc/fdsfsfvff;
rm -rf /etc/smarvtd;
rm -rf /etc/whitptabil;
rm -rf /etc/gdmorpen;
rm -rf /tmp/sfewfesfs;
rm -rf /tmp/gfhjrtfyhuf;
rm -rf /tmp/rewgtf3er4t;
rm -rf /tmp/fdsfsfvff;
rm -rf /tmp/smarvtd;
rm -rf /tmp/whitptabil;
rm -rf /tmp/gdmorpen;
rm -rf /etc/sfewfesfs;
rm -rf /etc/gfhjrtfyhuf;
rm -rf /etc/rewgtf3er4t;
rm -rf /etc/fdsfsfvff;
rm -rf /etc/smarvtd;
rm -rf /etc/whitptabil;
rm -rf /etc/gdmorpen;
cd /etc/ ;
rm -rf SSH2;
rm -rf .SSHH2;
cd /tmp/;
rm -rf .SSH*;
sudo chattr -i /etc/sfewfesfs*;
sudo rm -rf /etc/sfewfesfs*;
其他参考:
环境
centos 6.5,开放22端口root权限,密码长度8位字母加数字全小写无规律
-------------------------------------------------------------------------------------
现象
服务器不停往外发包,带宽占满(5分钟能发10G)。能看到名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行。
-------------------------------------------------------------------------------------
解决过程
修改外网映射22端口到XXXX
修改root密码
passwd
关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no
查看占用端口
netstat -atunlp
看到sfewfesfs和.sshdd1401029348进程在发包
查看进程位置
ll /proc/进程PID
参考http://blog.chinaunix.net/uid-1819848-id-4288137.html
删除病毒文件
sudo chattr -i /etc/sfewfesfs*
sudo rm -rf /etc/sfewfesfs*
看到名为nhgbhhj的可疑文件一并删除
sudo rm -rf /etc/nhgbhhj
删除计划任务
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1
参考http://www.linuxquestions.org/qu ... malware-4175501872/
用ls -al看到.SSH2隐藏文件,删除
sudo rm -rf /etc/.SSH2
用ls -al看到.sshdd1401029348隐藏文件,删除
sudo rm -rf /tmp/.sshdd140*
重启服务器,搞定。
其他,中招后重装过一次系统但立即又中,曾一度怀疑是安装盘的问题-_-!,22端口的root权限还是不要开了,nozuonodie,头一次经历linux中毒曾一度以为是很安全的操作系统-_-!,中过一次才觉得爽,大意了。
病毒具体作用机制本人能力有限没精力仔细研究了,还得大神们来,据说这个是4月份的新病毒,网上可查资料不多,借此复习了一下linux命令。
呵呵,用的人多了,linux病毒也多了哈。