【即将关站通知●已关闭注册功能】,倒计时剩余:计算中...

centos服务器挖矿木马处理方案


有一个客户服务器root密码设置很简单,被***挂马了。top能看到名称大概为10个字母的进程,字母是随机的。一看就不是正常进程(而且杀掉问题进程会自动生成新的、删除问题服务也会自动生成、很占用服务器带宽总是连接外网一个主机)。这种情况下,一般建议断开外网,然后处理。

问题现象:

1、查看定时任务(注意这三个地方都看下)

[root@localhost ~]# crontab -l

[root@localhost ~]# vi /etc/crontab

[root@localhost ~]# ll /etc/cron.*

#这个里面有异常定时任务。

[root@localhost ~]# cat /etc/crontab 

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/

# For details see man 4 crontabs

# Example of job definition:

# .---------------- minute (0 - 59)

# |  .------------- hour (0 - 23)

# |  |  .---------- day of month (1 - 31)

# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...

# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# |  |  |  |  |

# *  *  *  *  * user-name command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh


#这个定时任务的脚本如下。

[root@localhost ~]# cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

#这个脚本会去获取网卡名称,然后启动。

[root@localhost ~]# cat /proc/net/dev|grep :|awk -F: {'print $1'}

     lo

   eth0


#脚本里面的文件

[root@localhost ~]# file /lib/libudev.so

/lib/libudev.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

2、查看启动服务,有异常服务。

/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/

[root@localhost ~]# cat /etc/rc.d/init.d/eregsdfdzk

#!/bin/sh

# chkconfig: 12345 90 90

# description: eregsdfdzk

### BEGIN INIT INFO

# Provides:        eregsdfdzk

# Required-Start:    

# Required-Stop:    

# Default-Start:    1 2 3 4 5

# Default-Stop:        

# Short-Description:    eregsdfdzk

### END INIT INFO

case $1 in

start)

    /usr/bin/eregsdfdzk

    ;;

stop)

    ;;

*)

    /usr/bin/eregsdfdzk

    ;;

esac


可以确定如下特点:

(1)这几个地方有我呢提/lib/libudev.so /etc/cron.hourly/gcc.sh /etc/crontab /etc/rc.d/init.d/ /etc/rc.d/rc3.d/

(2)会连接外网的一个地址,防火墙屏蔽也没有用,它会把output是state 为new的drop掉。

(3)/lib/libudev.so应该是主程序。其他是协助运行和自我保护自我复制的实现。


解决办法:

#注意,一定连着执行,要不你的速度超过不了它重新生成的速度。

[root@localhost ~]# chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

#验证libudev.so已经删除了。

[root@localhost ~]# ls /lib/

cpp  firmware  kbd  modules  security  terminfo  udev

[root@localhost ~]# ls /lib/

cpp  firmware  kbd  modules  security  terminfo  udev

#删除问题服务并锁定服务目录。

[root@localhost ~]#到/etc/rc.d/rc3.d/和/etc/rc.d/init.d目录删除有问题的服务 && chmod 0000 /etc/rc.d/rc3.d/ && chmod 0000 /etc/rc.d/init.d && chattr +i /etc/rc.d/rc3.d/ && chattr +i /etc/rc.d/init.d

#删除定时任务并锁定配置文件。

[root@localhost ~]# sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

#重启服务器top观察、查看定时任务、服务。

#如果正常了,就再恢复权限和解锁,然后再观察。

收藏 邀请

路过

雷人

握手

鲜花

鸡蛋


最新评论

在线支持
关闭
欢迎来到魔趣吧
如果你有建站技术问题、仿站需求、模板插件修改需求,请联系我们的技术支持!高效率,低价格的帮你搞定!
请认准魔趣吧唯一官网:www.moqu8.com,谨防假冒网站!

一般问题请到【求助区】发帖咨询(免费)!

邮箱咨询:
winkill2012@qq.com

邮箱咨询需注明:资源地址+本站用户名+具体问题,三者缺一不做处理。非本站资源不处理!
在线支持

关于魔趣吧|魔趣建站

魔趣吧,志在打造全国最大的建站资源共享平台。 本站提供海量免费的建站资源,包括WordPress模板、Discuz精仿模板、PHPWind模板、phpcms模板、Discuz精仿插件、帝国cms模板、织梦模板等上万精品模板!同时,提供各种建站素材、JS特效、整站程序源码!
服务中文站长,传播分享精神!建站,就来魔趣吧!!
2015-2024 魔趣吧 ( 豫ICP备2021024354号 )   豫公网安备41030402000182号 百度统计
HTTPS安全认证
|网站地图 | 已运行:天 
温馨提示:本站所有资源、教程、源码,不得用于非法站点及用途,否则,本站将终止提供任何服务! Powered by Discuz! Licensed