一次Linux中的木马病毒解决经历

梧桐小站
2,077 阅读5分钟

病毒入侵解决方案

情景

最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的.

8867296886048045aa765edee56e9aa.jpg

1640666722(1).png

排查

既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.

这个时候就说明木马已经入侵了,不是即时入侵的.

于是自然的使用top,ps,crontab等方案去排查

  • top

    从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.

  • ps -aux > /usr/local/ps;vim /usr/local/ps

    从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸

    61dec1d0c014b8158dfab25edf3ae82.png 所以我们只需要杀死这个进程就可以了,于是使用kill命令杀了这两个进程重启服务器

    ...又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了...

    都到这儿了,我竟然没有想着去删除这个文件只想着杀进程,我也是服了我自己了

    气死我了......

  • crontab -l

    呵,果然有定时器

    ca9d16c04136cdc30f9241a0a32df11.png

    无论是从定时器还是从ps都可以直观的看到是/etc/newinit.sh文件自动运行导致的,我没有记录这个文件的内容直接删除了,当然废了大劲.

解决

既然定时器中有不明定时任务那我们肯定是要删除这个定时任务的,也就是使用crontab -e去修改定时任务

...敢不敢信,这个时候我使用的root用户竟然没有修改权限

想着先删除newinit.sh文件再改定时器吧,使用rm -rf /etc/newinit.sh去删除了个文件

...也显示没权限删除

这就触及到知识盲区了,真不会啊,通过百度发现文件有隐藏权限,于是抱着试试的态度使用lsattr /etc/newinit.sh去查看...果然隐藏权限中多了ai权限

  • a不可删除文件内容
  • i不可删除文件

没截图,你们遇到这种问题的时候一定知道我在说什么,肯定不只是这个文件有ai权限,木马修改了我很多文件,其他的有截图的

绝不绝,绝绝子啊...

那么我们要做的就是把这个文件的权限修改回去了,lsattr查看权限对应的修改权限的命令是chattr命令,这个命令在/usr/bin文件夹里面

于是去使用chattr -ai /etc/newinit.sh命令去修改文件的权限

你没有猜错,修改失败,没有权限...这...

没办法去看一下chattr命令的权限(根据博主blog.csdn.net/handsomezls…

[root@daniel bin]# ls -lh chattr;lsattr chattr
-rw-r--r--. chattr
----i------------ chattr

没办法复制了这个命令,还好cp没给我修改权限,不然废了

[root@daniel bin]# cp chattr chattr.new
[root@daniel bin]# chmod u+x chattr.new
[root@daniel bin]# chattr.new -i chattr
[root@daniel bin]# rm -rf chattr.new
[root@daniel bin]# chmod u+x chattr

这个时候chattr命令就可以正常使用了

于是使用chattr -ai /etc/newinit.sh删除了文件,已经使用kill命令杀死了对应的进程,这个时候CPU占用还是100%,因为任务已经执行了,现在正在入侵别人的服务器,先不用管

下面就是清空定时任务了

刚刚说了crontab -e没有权限,于是使用chattr -ai /usr/bin/crontab修改其权限

为了防止有其他指令仍然有这种情况在/usr/bin指令文件夹下使用lsattr命令查看,果然cron以及cron.d等有关定时器的指令都被修改了,于是使用chattr -ai /etc/bin/cron.d还原了cron.d指令的权限

同样的方法还原了/etc下面的指令,包括但不限于cron指令

这个时候crontab命令就可以正常使用了,又出现了其他情况/var/spool/cron没有权限,这是cron指令的存储文件,通过lsattr指令去查询这个文件夹的权限,发现也是被设置了ai隐藏属性(包括其下面的root文件夹),于是使用chattr -ai /var/spool/cron;chattr -ai /var/spool/cron/root修改了隐藏属性

2da15199ac10940fc32af8445db2ad3.png

d72004cac2d251a4decfab357dbcb0c.png

这个时候crontab -e才能正常执行,删除定时任务即可

到此也才真正的杀死病毒,当前CPU100%的问题只需重启服务器即可.

核心

这个木马恶心的地方在于修改了文件和指令的权限,让你无所适从,只要理解了这个木马的执行原理还是很简单的.

可惜了不会木马防范,再次求教.

avatar
文章
阅读
粉丝