Loading... <p>由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。 于是百度这个病毒:都说该<span style="font-family: Verdana, sans-serif;line-height: 21.988636016845703px">病毒很变态。<span style="line-height: 21.988636016845703px">第一次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒)</span></span></p> <h2> <p class="headline-1 bk-sidecatalog-title"><span style="font-size: 22px;line-height: 36px">1、病毒现象</span></p> <p class="headline-1 bk-sidecatalog-title"><span style="font-size: 22px;line-height: 36px"></span></p> <pre class="brush:python;toolbar:false">服务器不停向外网发送数据包,占网络带宽,甚至导致路由器频繁重启。 1) 通过top 或者ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行 2)通过sar -n DEV 就可以看到往外发包的情况。 3)netstat -natlp 可以看到使用哪些端口</pre> <p class="headline-1 bk-sidecatalog-title"><span style="font-size: 22px;line-height: 36px"></span></p> </h2> <h2> <p class="headline-1 bk-sidecatalog-title"><span style="font-size: 22px;line-height: 36px">2、分析可能原因</span></p> </h2> <pre class="brush:python;toolbar:false">曾一度怀疑是安装u盘的问题,安装盘是u盘制作的系统安装引导盘,装入系统之前是格式化了。看了网上的资料,应该不是,U盘的问题。 应该开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。这个服务器又可以通过路由器代理进来,并且登陆密码也不是那么复杂。可能被黑了。 22端口的root权限还是不要开了,no zuo no die,头一次经历linux中毒曾一度以为是很安全的操作系统。</pre> <h3><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px">1)先看看被攻击者修改过的:/etc/rc.local文件:</span></h3> <p><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"></span></p> <pre class="brush:python;toolbar:false">cd /tmp;./sfewfesfs cd /tmp;./gfhjrtfyhuf cd /tmp;./rewgtf3er4t cd /tmp;./fdsfsfvff cd /tmp;./smarvtd cd /tmp;./whitptabil cd /tmp;./gdmorpen cd /etc;./sfewfesfs cd /etc;./gfhjrtfyhuf cd /etc;./rewgtf3er4t cd /etc;./fdsfsfvff cd /etc;./smarvtd cd /etc;./whitptabil cd /etc;./gdmorpen cd /tmp;./sfewfesfs cd /tmp;./gfhjrtfyhuf cd /tmp;./rewgtf3er4t cd /tmp;./fdsfsfvff cd /tmp;./smarvtd cd /tmp;./whitptabil cd /tmp;./gdmorpen cd /etc;./sfewfesfs cd /etc;./gfhjrtfyhuf cd /etc;./rewgtf3er4t cd /etc;./fdsfsfvff cd /etc;./smarvtd cd /etc;./whitptabil cd /etc;./gdmorpen</pre> <p><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px">这是修改过的内容。</span><br style="font-size: 13.63636302947998px;line-height: 21.988636016845703px" /><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px">这里可以看到,他启动一系列的进程,并且最后还把防火墙给你关掉了。</span><br style="font-size: 13.63636302947998px;line-height: 21.988636016845703px" /><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px">那现在好办了。先找到以上对应的所有文件全部删除。</span><br /></span></p> <p><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px"></span></span></p> <h3><span style="font-family: song, Verdana"><span style="font-size: 14px;line-height: 22.375px"><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px">2)<span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px">删除病毒文件</span>sfewfesfs</span></span></span></h3> <p></p> <p><span style="font-family: song, Verdana"><span style="line-height: 22.375px"><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px">进到/etc/ 下面找到与进程对应的文件名 删掉。</span><br /></span></span></span></p> <p><span style="font-family: song, Verdana"><span style="line-height: 22.375px"><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px"></span></span></span></span></p> <pre class="brush:python;toolbar:false">sudo chattr -i /etc/sfewfesfs* sudo rm -rf /etc/sfewfesfs*</pre> <h3><span style="font-size: 14px;line-height: 22.375px">3) 删除<span style="font-family: Verdana, sans-serif;line-height: 21.984375px">.SSH2和.SSHH2</span></span></h3> <p><span style="line-height: 22.375px"><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px">这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。</span></span></p> <p><span style="line-height: 22.375px"><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px">用ls -al看到.SSH2隐藏文件,删除</span><br /></span></span></p> <p><span style="line-height: 22.375px"><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"></span></span></p> <pre class="brush:python;toolbar:false">rm -rf/etc/ SSH2; rm -rf/etc/ .SSHH2; rm -rf/tmp/.SSH*; /etc和/tmp可能有.sshdd1401029348隐藏文件 用ls -al看到,删除 sudo rm -rf /tmp/.sshdd140*</pre> <h3><span style="font-size: 14px;line-height: 22.375px"><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px"><strong>4)<span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px">删除计划任务:</span></strong></span></span></span></span></h3> <p><span style="font-size: 14px;line-height: 22.375px"><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px"><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px"><strong><span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px"></span></strong></span></span></span></span></p> <pre class="brush:python;toolbar:false">到/var/spool/cron/下面把root 和root.1删掉。 sudo rm -rf /var/spool/cron/root sudo rm -rf /var/spool/cron/root.1 这个时候,病毒程序基本清楚完整了。</pre> <h3><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px">5)22端口的root权限还是不要开了:</span></h3> <pre class="brush:python;toolbar:false">修改外网映射22端口到XXXX 修改root密码 passwd 关闭root的22权限 在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成 PermitRootLogin no</pre> <h3><span style="font-family: Verdana, sans-serif;font-size: 13.63636302947998px;line-height: 21.988636016845703px">5)<span style="font-size: 13.63636302947998px;line-height: 21.988636016845703px">重启服务器</span></span></h3> 最后修改:2021 年 12 月 10 日 10 : 53 AM © 允许规范转载 赞赏 如果觉得我的文章对你有用,请随意赞赏 赞赏作者 支付宝微信