Trojan en el servidor Linux, método de eliminación manual

  

Como me he encontrado con esta situación, simplemente lea este artículo, primero reimprimido. Es bastante útil.

En primer lugar, el troyano de puerta trasera es el siguiente:

(Por supuesto, esto se encuentra lentamente después de calmarse, y beber café en ese momento se siente como un hombre libre)

Nombre de troyano

Linux.BackDoor.Gates.5

http://forum.antichat.ru/threads/413337/



Primero que nada, hay varios servidores en la tarde alrededor de las 14:00. El tráfico es muy alto. Por lo general, solo hay unos pocos cientos de tráfico M. En ese momento, el tráfico se encuentra en G. La primera sensación de alcanzar esta cantidad es que sufrió un ataque de tráfico DDOS. Hay muchos servidores a la mano, y hay algunos dispositivos que no están


Hay ojos en los ojos, creo que se pueden encontrar los resultados. Para decirlo sin rodeos, a fin de lograr el mejor rendimiento, ninguno de nuestros servidores tiene firewalls (incluidos hardware e iptables), es decir, el servidor ha estado veteando. Estos servidores tienen rayas


No ha habido problemas durante algunos años. Parece que la seguridad del servidor Linux es bastante satisfactoria.


Al principio no hay ninguna pista, es decir, proceso de comprobación ps, número de puerto de comprobación netstat, tráfico de comprobación iftop, se estima que todos empezaron este tipo de operaciones al principio y están dañadas. Debajo de (esto se estima que los piratas informáticos esperan, obviamente me conocen muy bien, etc.


Ha), no he encontrado ninguna anormalidad por un tiempo, pero Iftop descubrió que nuestro servidor ha estado enviando una gran cantidad de paquetes. , el tráfico a una IP puede llegar a más de 600 M, luego nos dimos cuenta de que el servidor fue pirateado, pero solo se convirtió en un broiler, atacando a otros servidores, cuando


La IP también está cambiando todo el tiempo, al igual que alguien está en control remoto.


Es casi la hora de que el trabajo salga del trabajo. En este momento, hay aproximadamente 3 servidores con este tipo de situación. En este momento, todos resumen la situación que conocen:

Los programas a, /bin /ps, /bin /netsta tienen un tamaño de 1.2M, aparentemente fueron eliminados por el paquete

b, /usr/bin/.dbus-daemon--system process también se presentó Un punto es muy similar al que no lo es, pero es falso. Realmente no desea eliminarlo. Parece que las personas que escriben un programa así tienen un fuerte sentido de la ley, de lo contrario, el programa está promovido y muerto.


¿Una CIA grande lo dejará ir?

c, /etc/rc.local permisos se han cambiado, y se ha agregado una entrada de arranque

d, lsattr, comando chattr eliminado

e, el proceso se eliminó de inmediato y se levantó de nuevo. Esto es un dolor de cabeza

f, se encontraron algunos archivos recientemente modificados, obviamente estos

g dejado por el pirata informático, el archivo de inicio automático de arranque agrega 2 elementos de inicio


El proceso comienza a finalizar y el archivo se elimina y se genera automáticamente. No hay configuración de firewall en el entorno en línea. En la desesperación, tengo que pensar en un truco extraño. Cambie el nombre de /bin /bash y asegúrese de que ha bajado el tráfico. Este tipo de muertes de 10,000 es una medida útil.

De hecho, no he encontrado un troyano real en este momento, pero tengo tiempo para analizar y encontrar la fuente del virus. Estos dos han modificado el nombre de bash y se han desconectado de repente, por lo que no puedo iniciar sesión, así que tengo que Instala el sistema. Más tarde, lo busqué lentamente y no lo encontré, y luego lo borré. En este momento, me siento muy bien. Voy a escribir un blog para grabarlo. Después de todo, esta es la primera vez que el entorno en línea se encuentra con un troyano.

Aproximadamente a las 22 horas, la publicación del blog se escribió a mitad de camino y, de repente, estaba defectuosa. Esta vez fallaron 7 servidores y el estado de ánimo desapareció. Los 3 originales fueron solo una declaración de apertura. La verdadera batalla aún no ha comenzado. Así que el siguiente blog continúa, sintonizar


Tune es un poco diferente, solo míralo.


Debido a la búsqueda en línea de información durante este tiempo, poco a poco me fui familiarizando con este troyano. En este momento, cargué algunos programas binarios normales como: ls, netstat, chattr, lsattr y encontré el programa troyano con un programa automático. Analicé uno


Los nombres de estos troyanos han cambiado, pero todos son invariables. Los nombres están escritos en /etc/rc.d/init.d/DbSecuritySpt y /etc/rc.d/init.d/selinux, y los nombres y El servicio normal es muy similar.


Hay /usr /local /zabbix /sbin /zabbix_AgentD, /usr /bin /bsd-port /getty, /usr /bin /dpkgd /ps, /usr /bin /. Dbus-daemon - system, /usr/bin/.sshd, /usr /bin /sshd De todos modos, lo que es similar en su sistema


Cuando el proceso se está ejecutando, cambia a casi el mismo Para confundirlo, de hecho, todos son del mismo tamaño que un programa.


Ahora es eliminar estos archivos, eliminar estos procesos, digamos un pequeño episodio porque algunos servidores perdieron algunos no se eliminaron, el día siguiente se activó, estas cosas cuando se usa El comando anterior se puede activar, así que ten cuidado. Aproximadamente a las 4 am,


, los troyanos de los siete servidores estaban casi limpios. Ahora los pasos generales se resumen a continuación:



0, simplemente determine si hay un troyano

¿Hay alguno de los siguientes archivos

cat /etc/rc.d/init.d/selinux

cat /etc/rc.d/init.d/DbSecuritySpt

ls /usr /bin /bsd-port

ls /usr /bin /dpkgd

Compruebe si el tamaño es normal

ls -lh /bin /netstat

ls -lh /bin /ps

ls -lh /usr /sbin /lsof

ls -lh /usr /sbin /ss



1. Cargue el siguiente comando en /root

lsattr chattr ps netstat ss lsof



2, elimine los siguientes directorios y archivos

rm -rf /usr /bin /dpkgd (ps netstat lsof ss)

rm -rf /usr /bin /bsd-port (trojan)

rm -f /usr /local /zabbix /sbin /zabbix_AgentD (trojan)

rm -f /usr /local /zabbix /sbin/conf.n

rm -f /usr/bin/.sshd

rm -f /usr /bin /sshd

rm -f /root /cmd .n

rm -f /root/conf.n

rm -f /root /IP

rm -f /tmp/gates.lod

rm -f /tmp/moni.lod

rm -f /tmp/notify.file Programa

rm -f /tmp/gates.lock número de proceso

rm -f /etc/rc.d/init.d/DbSecuritySpt (inicie las variantes de troyano descritas anteriormente)

rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt

rm -f /etc /Rc.d /rc3.d /S97DbSecuritySpt

rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt

rm -f /etc/rc.d/init.d/selinux (el valor predeterminado es /usr /bin /bsd-port /getty)

rm -f /etc /rc .d /rc1.d /S99selinux

rm -f /etc/rc.d/rc2.d/S99selinux

rm -f /etc/rc.d/rc3.d/S99selinux

rm -f /etc/rc.d/rc4.d/S99selinux

rm -f /etc/rc.d/rc5.d/S99selinux



3, busque el siguiente número de proceso del programa y elimine

arriba De un vistazo, puede ver que la utilización de la CPU del troyano es extremadamente alta

/root /ps aux | Grep -i jul29 (principalmente el proceso abierto más recientemente)

/root /ps aux | Grep -i jul30

/root /ps aux | Grep -i jul31

/root /ps aux | Grep sshd

/root /ps aux | Grep ps

/root /ps aux | Grep getty

/root /ps aux | Grep netstat

/root /ps aux | Grep lsof

/root /ps aux | Grep ss

/root /ps aux | Grep zabbix_Agetntd

/root /ps aux | Grep .dbus

Los ejemplos son los siguientes:

Copyright © Conocimiento de Windows All Rights Reserved