记录一次linux系统清除DbSecuritySpt木马过程
近期公司安全部门发通知说一台Linux主机有ganiw,nitol,后门软件,木马远控;
看到这几个词,完全摸不着头脑,网上也查不到什么东西;
根据安全部门的建议,用netstat查看是否有主动外联的进程(可疑的木马进程),也没查到什么;
如此这般安全监测、通知、自查、监测、通知,往返好多次都是依旧,业务部门也烦了;
我又一次检查,在top命令监测时,发现有一个进程Linux-syn2在不断的出现,而且有不同的PID;
我第一次看到这个进程名称时,以为是Liunx系统层的正常同步进程,不敢贸然kill,先把它的PID记录下来;
再检查crontab,也没有异常的计划任务;
检查/etc/rc.local无异常;
检查/etc/init.d/看到一个脚本名称为DbSecuritySpt,依据以往经验,这个命名很另类啊,很异常啊;
拿着这个文件名去网上一搜,果然有相关处理经验分享;
首先发现/etc/init.d/selinux的修改时间与DbSecuritySpt脚本的修改时间是相同的,所以也是木马的工具咯;
检查发现系统的selinux状态是enforcing,有点奇怪,一般人都会禁用selinux的,这也印证了上面的猜测;
然后发现/etc/rc1.d/--rc5.d/目录下都有上述DbSecuritySpt和selinux的链接脚本,保证的机器多个工作模式都能运行木马;
检查/tmp目录时,发现有Linux-syn2脚本,与Linux-syn2进程对应起来了;
到这,可以说这个木马的表象已经明了,通过/etc/init.d/selinux和DbSecuritySpt启动木马脚本/tmp/Linux-syn2;
开始操作:
一顿kill -9把Linux-syn2进程全部杀掉;一顿rm -fr将上面发现的木马脚本全部干掉;
据以往经验,木马病毒的进程、脚本都有死灰复燃、自动恢复的特性;
果不其然,过了一分钟,再检查时,发现Linux-syn2进程又出现了,刚才删除的脚本,也都再次出现了;
再次检查发现,通过ps命令看不到Linux-syn2这个进程,猜测ps命令被篡改了,
于是which ps、find / -name ps发现系统下有两个ps,/usr/bin/ps和/usr/bin/dpkgd/ps,
上网查了一下dpkgd目录不是正常系统目录,进入此目录查看,还有netstat ss两个系统工具,于是判断这三个工具被篡改了;
将/usr/bin/dpkgd/目录下的这三个工具重命名后,再运行ps -ef/netstat -ntlp/ss -t都无返回结果,断定系统原有的这三个工具被修改了,
从正常机器上cp下这三个工具,替换后,三个命令可以正常使用了;
检查/usr/bin目录下其他命令时,发现该目录下有一个bsd-port目录,下面有getty、getty.lock、conf.n、cmd.n等文件,看getty.lock文件内容像一个进程ID;
通过top命令也看到了getty这个进程,再看cmd.n文件内容是一个wget命令,于是明白了,这个目录下的文件就是用来下载木马脚本的;
于是kill、rm一顿干掉;同样,干掉之后,还是会自动生成;至于是怎么生成的,没思路了,就想到写一个自动脚本,不停的kill和rm;
于是写了一个killyou脚本,检查木马进程、杀进程、删木马脚本,循环起来。。。
#!/bin/bash
while true
do
PID1=`pgrep -f Linux-syn2`
if [ -n "${PID1}" ];thenkill -9 ${PID1}
elsesleep 3PID1=`pgrep -f Linux-syn2`
fi
rm -fr /usr/bin/bsd-port/*
rm -fr /usr/bin/dpkgd/*
rm -fr /tmp/Linux-syn2
rm -fr /tmp/gates.lod
rm -fr /tmp/moni.lod
rm -fr /etc/init.d/DbSecuritySpt
rm -fr /etc/init.d/selinux
for PID2 in `pgrep -f /usr/bin/bsd-port/getty`;do
if [ -n "${PID2}" ];thenkill -9 ${PID2}
elseecho "no getty process."
fi
done
sleep 3
for i in `pgrep -f .sshd`;do kill -9 $i;done
for j in `pgrep -f /usr/bin/dpkgd/ps`;do kill -9 $j;done
done
通知安全部门处理结果,通知业务部门修改系统密码,大功告成。。。。
业务部门反馈登录不上此机器了,显示拒绝登录。。我勒个去。。我没改登录限制啊(我早上登录没退出过,所以我的连接还在);
检查/etc/ssh/sshd_config时发现,vi打开此文件之后,总是自动退出到命令行模式,感觉这个文件也被篡改了;
用netstat检查系统监听端口,发现没有22端口,擦,,sshd服务也被破坏了。。(我的ssh连接也自动断开了)
尝试从正常机器上cp /usr/sbin/sshd覆盖,重新启动sshd服务,第一次成功了,保持了一分钟,之后sshd服务又不行了;
网上找到一个临时方案,时用dropbear替换sshd服务,根据网上操作,安装dropbear、启动dropbear,成功再次连接登录;
(此过程中庆幸的是该机器是虚拟机,可以通过宿主机连接,cp文件,如果是机房里的物理机,那就麻烦了。)
记录一次linux系统清除DbSecuritySpt木马过程相关推荐
- linux系统c++编译连接过程,动态库与静态库
https://www.cnblogs.com/ucas/p/5778664.html(linux系统c++编译连接过程) http://www.cnblogs.com/skynet/p/337285 ...
- linux系统清除redis信息
清除redis中指定信息 小知识点记录一下: 需求:用户是否点击管关闭弹出框,这个信息是在redis中存储的,清除redis中某个信息: 步骤: 1.Linux系统任意目录下 redis-cli 进 ...
- Linux学习记录-01(Linux系统发展史)
对计算机一直感觉很神秘,想要学习,奈何不是计算机专业出身,最近决定开始学习,也算是充实一下自己,希望自己可以坚持下去. 一.Linux系统 Linux是一套免费使用和自由传播的类Unix操作系统,是一 ...
- linux 系统业务迁移,记录一次linux系统迁移过程
就在最近,终于为自己的电脑加装了固态.在装完固态之后,首先面临的问题就是如何将原先安装在机械硬盘上的linux系统迁移到固态上.还要考虑后续配置的问题. 本文主要讲述在迁移Linux系统到新的固态硬盘 ...
- Linux系统清除缓存【整理】
1)缓存机制介绍 在Linux系统中,为了提高文件系统性能,内核利用一部分物理内存分配出缓冲区,用于缓存系统操作和数据文件,当内核收到读写的请求时,内核先去缓存区找是否有请求的数据,有就直接返回,如果 ...
- 真实分享记录我学习Linux系统遇到的问题
2019独角兽企业重金招聘Python工程师标准>>> 对于Linux,又爱又恨,也有自己的一些看法,毕竟已经接触了快两年了.但是,说出来都是伤,为什么呢?如果您想知道请让我给您慢慢 ...
- (转载)一次Linux系统被攻击的分析过程
IT行业发展到现在,安全问题已经变得至关重要,从最近的"棱镜门"事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自 ...
- linux 系统命令被后门修改_一次Linux系统被攻击的分析过程
作者:南非蚂蚁 来源:https://urlify.cn/M7NjIv IT行业发展到现在,安全问题已经变得至关重要,从之前的"棱镜门"事件中,折射出了很多安全问题,信息安全问题已 ...
- 一次Linux系统被攻击的分析过程
点击上方 "程序员小乐"关注, 星标或置顶一起成长 每天凌晨00点00分, 第一时间与你相约 每日英文 I may not be perfect, but I'm always m ...
最新文章
- 基于最短路方法的生物序列比对问题研究
- windows上配置jdk环境变量
- Django中HttpResponse和JsonResponse的区别和用法
- 转:Singleton模式
- json为全局变量 vue_Vue-cli开发笔记二----------接口调用、配置全局变量
- 关于C++的建议,仅仅为了规范代码(一)
- dubbo源码分析12——服务暴露3_doExportUrls()方法分析
- js获取当前日期加上30天之后的日期
- ==和Equal()
- Unity中英对照汉化
- 比较两个文本差异,直接显示两个文本的相同点与不同点
- 互联网通信流程(含servlet)
- 你知道各调的特点吗?
- 腾讯T1~T9级别工程师具备专业的能力及知识点总结。
- 关于Android中使用WebView播放网络视频不能全屏的问题
- IOS数据库操作SQLite3使用详解
- [最新] Android 代码规范大全(Android开发速看),2021年最新大厂Android面试笔试题目
- 编写shell脚本运行python文件
- 让旧衣服换新颜 听听章泽天怎么说!
- 日记 | STM32串口显示YL-69土壤湿度