linux服务器中***，手工清除方法

linux服务器中***，手工清除方法

由于我自己也遇到过这种情况，所以刚看到这篇文章，先转载了。真的很有用。

首先，宠后门***如下:

(当然这是我事后冷静下来后慢慢发现的。那时候，我觉得自己就像一个喝咖啡的自由人。)

***姓名

Linux。后门。盖茨。5

http://forum.antichat.ru/threads/413337/

首先，下午14:00左右，有几台服务器流量超高，一般只有几百M的流量。当时发现流量涨到G了，达到这个量的第一感觉就是他们遭受了DDOS流量***。当时手里有很多服务器，但有几个没有出现。

我把它放在眼里，我想我可以通过检查找出结果。顺带一提，为了达到最佳性能，我们的服务器都没有防火墙(包括硬件和iptables)，也就是服务器一直处于裸奔状态。这些服务器在裸奔。

几年了都没有什么问题，看起来linux服务器安全性还是中规中矩的。

一开始也没什么头绪，就是ps查进程，netstat查端口号，iftop查流量。估计一开始大家都是这样的，还得撒娇(这也是***，显然他们很了解我们。

哈)，一时没发现什么异常。只是iftop发现我们的服务器一直在发大量的合同，到某个IP的流量可以达到600m以上，这个时候我们才意识到服务器被黑了，不过只是作为一个肉鸡，去***其他服务器的时候

但是，***的IP总是在变，好像有人在遥控。

转眼就快下班了。此时，大约有3台服务器出现这种情况。这时，大家已经总结了自己所知道的:

a、/bin/ps、/bin/netsta程序大小都是1.2M，而且明显被切换过。

b，/usr/bin/。dbus-daemon-system进程也带了点，和不带点的很像，但毕竟是假的。为什么不真的删了，换掉？看来写这种节目的人法律意识还是很强的，要不然节目就普及死了。

一个庞大的中情局会放过他吗？

更改了c、/etc/rc.local权限，并添加了一个启动条目。

d，lsattr，chattr命令已删除

e，进程被杀了马上又起来了，很头疼。

f，发现了一些最近修改过的文件，显然这些都是***留下的

自动在启动文件中添加两个启动项。

刚开始的时候，进程被杀死重新启动，文件被删除自动生成，在线环境下没有防火墙配置。无奈之下，只好想了一个怪招，重命名为/bin/bash。果然流量下来了，这种杀敌一万，损失八千的招数真的有用。

其实这个时候还没有找到真正的***但是已经到了分析找到病毒来源的时候了。这3个单元中有2个改了bash名，突然断线了，无法登录，只好重装系统。后来我就慢慢找了这个。很糟糕吗？

查找更多，然后删除。此刻心情不错，准备写篇博文记录一下。毕竟这是网上环境第一次遇到***。

22点左右，博文写到一半，突然又收到一个失败。这次又是7台服务器故障，我的好心情一下子没了。原来那三台服务器只是序幕，真正的战斗还没有开始。所以后面的博客是延续，调

如果曲调稍有不同，你就知道了。

由于这几天在网上查了一些资料，慢慢熟悉了这个***。这时候我上传了一些ls，netstat，chattr，lsattr等正常的二进制程序，一下子就找到了带有自动程序的***程序。我分析了一个

现在，这些***程序的名字以不同的方式改变，但它们总是相同的。名字写在/etc/rc.d/init.d/DbSecuritySpt和/etc/rc.d/init.d/selinux中，名字和正常服务很像。

有/usr/local/zabbix/sbin/zabbix_agentd、/usr/bin/bsd-port/getty、/usr /bin/dpkgd/ps、/usr/bin/。dbus-daemon-system，/usr/bin/。

在流程运行的时候，他会改成类似的东西来迷惑你。其实都是一个程序，大小一样。

现在就是删除这些文件，杀死这些进程，讲一个插曲。因为某个服务器漏了东西没有删除，第二天就激活了。当你使用上面的命令时，这些东西可以被激活，所以要小心。凌晨4点左右。

当时这7台服务器的***都被清理了。现在，一般步骤总结如下:

0，简单判断是否有***

你有下列文件吗

cat/etc/rc.d/init.d/selinux

cat/etc/RC.d/init.d/DbSecuritySpt

ls/usr/bin/BSD-端口

ls/usr/bin/dpkgd

检查尺寸是否正常。

ls-lh/bin/netstat

ls-左侧/垃圾箱/ps

ls-lh/usr/sbin/lsof

ls-lh/usr/sbin/ss

1、将以下命令上传到/root

lsattrchattrpsnetstatsslsof

2.删除下列目录和文件

RM-RF/usr/bin/dpkGD(PSnetstatlsofss)

RM-RF/usr/bin/BSD-端口(***程序)

RM-f/usr/local/zabbix/sbin/zabbix_agentd(***程序)

RM-f/usr/local/zabbix/sbin/conf.n

rm-f/usr/bin/。混合硬盘

rm-f/usr/bin/sshd

rm-f/root/cmd.n

rm-f/root/conf.n

rm-f/root/IP

rm-f/tmp/gates.lod

rm-f/tmp/moni.lod

Rm-f/tmp/notify.file程序

Rm-f/tmp/gates.lock进程号

RM-f/etc/RC.d/init.d/dbsecurityspt(启动上述***变体)

RM-f/etc/RC.d/rc1.d/s97dbsecurityspt

RM-f/etc/RC.d/RC2.d/s97dbsecurityspt

RM-f/etc/RC.d/rc3.d/s97dbsecurityspt

RM-f/etc/RC.d/RC4.d/s97dbsecurityspt

RM-f/etc/RC.d/rc5.d/s97dbsecurityspt

Rm-f/etc/rc.d/init.d/selinux(默认为startup/usr/bin/bsd-port/getty)

rm-f/etc/rc.d/rc1.d/S99selinux

rm-f/etc/rc.d/rc2.d/S99selinux

rm-f/etc/rc.d/rc3.d/S99selinux

rm-f/etc/rc.d/rc4.d/S99selinux

rm-f/etc/rc.d/rc5.d/S99selinux

3.找到下面程序的进程号并杀死它

Top一眼就看出***cpu利用率极高。

/root/psaux|grep-ijul29(主要是最近打开的进程)

/root/PSaux|grep-I7月30日

/root/PSaux|grep-I7月31日

/root/psaux|grepsshd

/root/psaux|grepps

/root/psaux|grepgetty

/root/psaux|grepnetstat

/root/psaux|greplsof

/root/psaux|grepss

/root/psaux|grepzabbix_Agetntd

/root/psaux|grep。数据总线

例子如下:

/root/psaux|grepgetty

根62150.00.093636868？SSL20:540:05/usr/bin/BSD-port/Getty

杀死6215

/root/psaux|grepzabbix_AgentD

根255871.00.01060521048？Ssl20:54117:29。/zabbix_AgentD

杀死2558

/root/psaux|grep"/dpkgd/ps"

根1117367.80.01059241020？SSL01:398:00/usr/bin/dpkGD/PS-p11148-ocomm=

杀11173

如果杀删后又出现，就这么做(破坏***程序)。

>/usr/bin/dpkGD/PS&；&/root/chattr+I/usr/bin/dpkGD/PS

>/usr/bin/BSD-port/Getty&；&/root/chattr+I/usr/bin/BSD-port/Getty

4.删除***命令重新安装(或者复制上传的正常程序)

著名图象处理软件

/root/chattr-I-a/bin/PS&；&rm/bin/ps-f

yum重新安装procps-y

或者

cp/root/ps/bin

显示网络连接

/root/chattr-I-a/bin/netstat&；&rm/bin/netstat-f

yum重新安装网络工具-y

或者

cp/root/netstat/bin

查找打开的文件

/root/chattr-I-a/bin/lsof&；&rm/usr/sbin/lsof-f

yum重新安装lsof-y

或者

cp/root/lsof/usr/sbin

chattr&&显示文件属性

yum-y重新安装e2fsprogs

悬浮物

/root/chattr-I-a/usr/sbin/ss&；&rm/usr/sbin/ss-f

yum-y重新安装iproute

或者

cp/root/ss/usr/sbin

修改以下两个程序的权限。这是一个意外的发现。他们中的一些人更改了这两个程序的权限，所以你发现***既不能下载正常程序，也不能杀死进程。

/usr/bin/killall

/usr/bin/wget

另外，他们还修改了DNS，怕我们识别不了一些域名。想得很周到。

cat/etc/resolv.conf

8.8.8.8域名服务器

8.8.4.4域名服务器

5.工具扫描

安装防病毒工具。

固定

yum-y安装clamav*

开始

服务clamd重启

更新病毒数据库

新鲜蛤蜊

扫描法

clamscan-r/etc-max-dir-recursion=5-l/root/etcclamav.log

clamscan-r/bin-max-dir-recursion=5-l/root/binclamav.log

clamscan-r/usr-max-dir-recursion=5-l/root/usrclamav.log

clamscan-r-remove/usr/bin/BSD-port

clamscan-r-remove/usr/bin/

clamscan-r-remove/usr/local/zabbix/sbin

查看日志发现

/bin/netstat:Linux.trojan.agentfound是病毒。

grepFOUND/root/usrclamav.log

/usr/bin/。sshd:Linux。特洛伊木马。找到代理

/usr/sbin/ss:Linux。特洛伊木马。找到代理

/usr/sbin/lsof:Linux。特洛伊木马。找到代理

6、加强自身安全

但此时我们并不知道系统***的原因，只能从暴力破解和系统及服务漏洞两个方面考虑。

A.yumupdate更新系统(尤其是bash、openssh和openssl)

B.关闭一些不必要的服务。

c、设置ssh普通用户登录使用hosts.all和hosts.deny限制登录的网段。

d、记录登录系统后的 *** 作命令。

发现以下 *** 作。

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/日志/消息

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/httpd/access_log

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/httpd/error_log

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/xferlog

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/secure

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/auth.log

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/user.log

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/wtmp

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/lastlog

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/log/btmp

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/run/utmp

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；/var/spool/mail/root

7月31日00:26:37CHN-LZ-131记录器:[euid=root]::[/root]echo>；。/.bash_历史

7月31日00时26分37秒CHN-LZ-131记录器:[euid=root]::[/root]RM-RF/root/。bash_历史

7月31日00时26分37秒CHN-LZ-131记录器:[euid=root]::[/root]