基本与一篇文章类似
环境 :centos6.4 x86_64
现象:局域网连接时断时续, ping包有丢包,路由器指示灯狂闪, 服务器cpu利用率 98%左右
1.发现网络流量异常,根据路由器上指示灯找到异常的服务器,运行 top命令,发现是可疑进程是长度10左右的随机字符串,
2. ps 尝试kill掉可疑进程,但进程扔自启动
3. 猜测是添加了开机启动脚本和定时任务 , 检查位置 /etc/init.d/下的最新脚本文件发现有三个异常文件 对应/usr/bin/目录下有对应文件名的异常可执行文件
检查crontab -l ,未发现有定时任务,再检查/etc/目录下的 crontab 、定时任务运行脚本 /etc/cron.d/、 /etc/cron.daliy/ 等发现异常脚本 gcc.sh 三分钟启动一次
定位到这几个自启动的脚本文件删除之
4. 删除定时任务后及自启动脚本后,停止可疑进程运行 kill -STOP pid
5. 删除/usr/bin下的异常可执行文件 及/etc/init.d/目录下的自启动脚本
6. 删除病毒源文件 /lib/libudev.so文件
自此病毒木马已全部删除,但是还要记得检查下系统命令是否被感染
我事后用clamav 遍历了下 /bin/ 目录和 /usr/sbin/目录 , 发现 netstat 、ps 、 lsof、.sshd 命令被感染, 并进行MD5验证发现 md5值均与/usr/bin/目录下的异常可执行文件MD5值相同,删除这些系统命令后,重新安装了下,最终检查了下服务器的流量和cpu利用率无异常了
——————————————————————————
事后分析原因,开发原因,自己将内网的服务器22端口通过路由器的端口映射到公网ip,并采用弱口令登陆,所以最有可能应该是从ssh这个点打进来的攻击
阅读(1538) | 评论(0) | 转发(0) |
