centos6中了挖矿木马的解决办法
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了centos6中了挖矿木马的解决办法相关的知识,希望对你有一定的参考价值。
有一个客户服务器root密码设置很简单,被入侵挂马了。top能看到名称大概为10个字母的进程,字母是随机的。一看就不是正常进程(而且杀掉问题进程会自动生成新的、删除问题服务也会自动生成、很占用服务器带宽总是连接外网一个主机)。这种情况下,一般建议断开外网,然后处理。
问题现象:
1、查看定时任务(注意这三个地方都看下)
[[email protected] ~]# crontab -l [[email protected] ~]# vi /etc/crontab [[email protected] ~]# ll /etc/cron.*
#这个里面有异常定时任务。
[[email protected] ~]# cat /etc/crontab SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin MAILTO=root HOME=/ # For details see man 4 crontabs # Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # | | .---------- day of month (1 - 31) # | | | .------- month (1 - 12) OR jan,feb,mar,apr ... # | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat # | | | | | # * * * * * user-name command to be executed */3 * * * * root /etc/cron.hourly/gcc.sh
#这个定时任务的脚本如下。
[[email protected] ~]# cat /etc/cron.hourly/gcc.sh #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done cp /lib/libudev.so /lib/libudev.so.6 /lib/libudev.so.6
#这个脚本会去获取网卡名称,然后启动。
[[email protected] ~]# cat /proc/net/dev|grep :|awk -F: {'print $1'} lo eth0
#脚本里面的文件
[[email protected] ~]# file /lib/libudev.so /lib/libudev.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
2、查看启动服务,有异常服务。
/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/
[[email protected] ~]# cat /etc/rc.d/init.d/eregsdfdzk
#!/bin/sh
# chkconfig: 12345 90 90
# description: eregsdfdzk
### BEGIN INIT INFO
# Provides: eregsdfdzk
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: eregsdfdzk
### END INIT INFO
case $1 in
start)
/usr/bin/eregsdfdzk
;;
stop)
;;
*)
/usr/bin/eregsdfdzk
;;
esac
可以确定如下特点:
(1)这几个地方有我呢提/lib/libudev.so /etc/cron.hourly/gcc.sh /etc/crontab /etc/rc.d/init.d/ /etc/rc.d/rc3.d/
(2)会连接外网的一个地址,防火墙屏蔽也没有用,它会把output是state 为new的drop掉。
(3)/lib/libudev.so应该是主程序。其他是协助运行和自我保护自我复制的实现。
解决办法:
#注意,一定连着执行,要不你的速度超过不了它重新生成的速度。
[[email protected] ~]# chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
#验证libudev.so已经删除了。
[[email protected] ~]# ls /lib/ cpp firmware kbd modules security terminfo udev [[email protected] ~]# ls /lib/ cpp firmware kbd modules security terminfo udev
#删除问题服务并锁定服务目录。
[[email protected] ~]#到/etc/rc.d/rc3.d/和/etc/rc.d/init.d目录删除有问题的服务 && chmod 0000 /etc/rc.d/rc3.d/ && chmod 0000 /etc/rc.d/init.d && chattr +i /etc/rc.d/rc3.d/ && chattr +i /etc/rc.d/init.d
#删除定时任务并锁定配置文件。
[[email protected] ~]# sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
#重启服务器top观察、查看定时任务、服务。
#如果正常了,就再恢复权限和解锁,然后再观察。
以上是关于centos6中了挖矿木马的解决办法的主要内容,如果未能解决你的问题,请参考以下文章
入侵溯源排查服务器被勒索比特币,服务器中了挖矿木马,服务器端口不定时关闭,服务器镜像文件突然缺失,服务器某一时刻CPU占用过高,服务器密钥文件突然不可用,服务器密码突然不可用无法登录服务器