Nota pequeña El proceso de limpieza de virus IptabLes e IptabLex

El año pasado, un servidor Linux fue pirateado y vi 5 millones de líneas de registros (ahora creo que era tan bueno en ese momento), de todos modos, los archivos de registro en ese momento tenían más de 700Mb. Los primeros dos días, mi hermano me dijo que el profesor del centro de información le dijo que tenemos un servidor que debería ser invadido, utilizado como un trampolín para la intranet, y que a menudo atacaba a otros servidores en la intranet. Así que fui al servidor durante la noche.

Esta es la primera vez que estoy en este servidor. No sé cuál es la situación. Solo sé que este servidor es Linux (quiero verificar qué versión de Nima es específica), y tengo un sitio web.

Después de entrar, veamos qué es la distribución. CentOS6.5, Ubuntu, que solía jugar solo en el pasado, es más o menos desconocido. Ok, no más tonterías.

Vayamos a ver qué página. Cd /var /below, no vio el directorio como www o htdocs, no tomcat. Busqué por un momento, y por supuesto. El contenido de la página web no se leerá primero, y debería haberse autorizado con éxito. Solo ve y ve al servidor.

Cuando escribí el artículo, me di cuenta de que no debería mirar otras cosas al principio. Primero debería hacer una copia de seguridad de .bash_history. Sé un despertar para ti mismo.

Eche un vistazo a passwd y shadow:

[root @ localhost /] # stat /etc /passwd Archivo: " /etc /passwd " Tamaño: 1723 Bloques: 8 Bloque IO: 4096 Normal Dispositivo de archivo: fd00h /64768d Inodo: 919098 Enlaces: 1 Acceso: (0644 /-rw-r - r--) Uid: (0 /root) Gid: (0 /root) Acceso: 2014-09-21 09: 32: 01.730288306 +0800 Modificar: 2014-04-02 09: 31: 28.469644869 +0800 Cambio: 2014-04-02 09: 31: 28.503201786 +0800 [root @ localhost /] # stat /etc /shadow Archivo: " Etc /shadow " Tamaño: 1177 Bloques: 8 IO Bloque: 4096 Dispositivo de archivo normal: fd00h /64768d Inode: 919095 Enlaces: 1 Acceso: (0000 /----------) Uid: (0 /root) Gid: (0 /root) Acceso: 2014-09-21 09: 40: 01.734126039 +0800 Modificar: 2014-04-02 09: 38: 11.473125883 +0800 Cambio: 2014-04-02 09: 38: 11.498275087 +0800 < Br>

Parece que la invasión tuvo éxito el 2 de abril. Miré el directorio en /home y agregué un usuario más. Todavía mira la contraseña.

[root @ localhost /] # cat /etc /shadow

mysql: !!: 15791 :::::: tomcat: !!: 15791 :::::: chu: $ 6 $ $ kG9zMTps 7H61NSjXMY3 /Jc /tZrJtCuwFn1mhDyWXVg4blFghfLdbQNXr.6Li9tYt5fYVJsIlvwb0z68k /EQXsUljZK6.L0: 15793: 0: 99999: 7 ::: SQZR: $ 6 $ yBrvX /HDaim /vrK4 $ uArYMq6Zr2XM7BWTzexC16RI6HGmOp9cs65AgLR.v.yx3rN0M6YzblNCJytGsguFSbsGN18OPpcyrSG63fKKS :. 16162: 0: 99999: 7 :::

La contraseña no se escribirá. En passwd, el usuario detrás de sqzr es el mismo que root, que es el privilegio de root. La petición de Userdel sqzr no se puede eliminar, está actualmente conectada, Nima, este usuario debe darle un nombre a la raíz. Modifique los dos archivos directamente y elimine la línea. El usuario se limpia.

Consulte el proceso:

21911? 00:00:00 .IptabLex

21917? 00:00:00 .IptabLes

29093? 00:00:02 prwpodebiq

¿Qué es esto? A primera vista, es un firewall, pero uno más, piénselo de nuevo, Linux distingue entre mayúsculas y minúsculas Esto no es lo correcto.

Baidu descubrió que en realidad es un virus, y hay otras personas reclutadas.

http://www.xujiansheng.cn/2014/01/linux-viruses-iptablex-iptables/

También existe prwpodebiq, un nombre de proceso completamente sin sentido, un gran pid Debe haber un problema.

[root @ localhost /] # find /-name prwpodebiq -print /boot /prwpodebiq /etc/rc.d/init.d/prwpodebiq

[root @localhost /] # cd /boot /[root @ localhost boot] # ll Uso total 19588 -rw-r - r--. 1 root root 97862 20 de mayo de 2011 config-2.6.32-71.el6.x86_64 drwxr -xr-x. 3 raíz raíz 1024 27 de marzo de 2013 efi drwxr-xr-x. 2 raíz raíz 1024 marzo 27 2013 grub -rw-r - r--. 1 raíz raíz 13419499 27 de marzo de 2013 initramfs-2.6 .32-71.el6.x86_64.img lrwxrwxrwx 1 root root 25 de septiembre 16 22:31 IptabLes -> /etc/rc.d/init.d/IptabLes lrwxrwxrwx 1 root root 25 de septiembre 16 22:31 IptabLex - > /etc/rc.d/init.d/IptabLex drwx ------. 2 raíz raíz 12288 27 de marzo de 2013 perdido + encontrado -rwxr-x --- 1 raíz raíz 613533 21 de septiembre 21:29 Prwpodebiq -rw-r - r--. 1 root root 160542 May 20 2011 symvers-2.6.32-71.el6.x86_64.gz -rw-r - r--. 1 root root 2226490 May 20 2011 System.map-2.6.32-71.el6.x86_64 -rwxr-xr-x. 1 raíz raíz 3791040 20 de mayo de 2011 vmlinuz-2.6.32-71.el6.x8 6_64

[root @ localhost boot] # stat prwpodebiq Archivo: " prwpodebiq " Tamaño: 613533 Bloques: 1200 Bloque IO: 1024 Dispositivo de archivo normal: 801h /2049d Inodo: 22 Enlaces: 1 Acceso: (0750 /-rwxr-x ---) Uid: (0 /root) Gid: (0 /root) Acceso: 2014-09-21 23: 16: 18.000000000 +0800 Modificar: 2014-09-21 21: 29: 26.000000000 +0800 Cambio: 2014-09-21 21: 29: 26.000000000 +0800

El archivo 777 se encuentra en el virus.

[root @ localhost boot] # find /-name * IptabL * -print /boot/.IptabLes /boot/.IptabLex /etc/rc.d/rc4.d/S55IptabLes /etc/rc.d /rc4.d/S55IptabLex /etc/rc.d/rc2.d/S55IptabLes /etc/rc.d/rc2.d/S55IptabLex /etc/rc.d/rc3.d/S55IptabLes /etc/rc.d/rc3 .d /S55IptabLex /etc/rc.d/rc5.d/S55IptabLes