小记IptabLes和IptabLex病毒清理过程(1)下载
系统大全为您分享
去年有台Linux服务器被黑了,看了500万行日志(现在觉得当时好厉害呀),反正当时的日志文件有700Mb以上大。前两天师兄告诉我,信息中心的老师给他说我们有台服务器应该是被人入侵了,当作内网的跳板,经常对内网中的其他服务器发出攻击的数据。于是我连夜就去服务器上看了。
这是我第一次上这个服务器,什么情况都不知道,只知道这个服务器是Linux(尼玛具体是什么发行版都要我去查),上面跑着一个网站。
进去之后,先看看是什么发行版的。CentOS6.5,以前都只玩的Ubuntu,换这个上面多多少少还有点陌生的。好了废话不多说了。
再去看看什么网页吧。cd
ar/下面,没有看到是www或者htdocs之类的目录,不会是tomcat吧。搜索了一下,果然是。网页内容先不看了,应该是已经提权成功了的。直接就去看看服务器算了。
写文章的时候才意识到,我一开始不应该乱看其他的,应该先把.bash_history什么的先备份下才对。算是给自己提一个醒吧。
看看passwd和shadow:
[root@localhost /]# stat /etc/passwd
File: “/etc/passwd”
Size: 1723 Blocks: 8 IO Block: 4096 普通文件
Device: fd00h/64768d Inode: 919098 Links: 1
Access: (0644/-rw-r–r–) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2014-09-21 09:32:01.730288306 +0800
Modify: 2014-04-02 09:31:28.469644869 +0800
Change: 2014-04-02 09:31:28.503201786 +0800
[root@localhost /]# stat /etc
adow
File: “/etc
adow”
Size: 1177 Blocks: 8 IO Block: 4096 普通文件
Device: fd00h/64768d Inode: 919095 Links: 1
Access: (0000/———-) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2014-09-21 09:40:01.734126039 +0800
Modify: 2014-04-02 09:38:11.473125883 +0800
Change: 2014-04-02 09:38:11.498275087 +0800
看来是4月2号就入侵成功了呀。查看了下/home下的目录,多了一个用户。还是看看passwd吧。
[root@localhost /]#cat /etc
adow
mysql:!!:15791:::::: tomcat:!!:15791:::::: chu:$6$kG9zMTps$7H61NSjXMY3/Jc/tZrJtCuwFn1mhDyWXVg4blFghfLdbQNXr.6Li9tYt5fYVJsIlvwb0z68k/EQXsUljZK6.L0:15793:0:99999:7::: sqzr:$6$yBrvX/HDaim
rK4$uArYMq6Zr2XM7BWTzexC16RI6HGmOp9cs65AgLR.v.yx3rN0M6YzblNCJytGsguFSbsGN18OPpcyrSG63fKKS.:16162:0:99999:7:::
passwd就不写出来了。在passwd中,sqzr这个用户后面的和root一样,也就是root权限了。userdel sqzr提示不能删除,当前已经登录,尼玛,这个用户就是给root取了个别名吧。直接修改两个文件,删除这一行。用户就算是清理了。
看下进程:
21911 ? 00:00:00 .IptabLex
21917 ? 00:00:00 .IptabLes
29093 ? 00:00:02 prwpodebiq
这是什么,第一眼还以为是防火墙,可是多了一个,再一想,Linux下面要区分大小写的,这东西不对劲。
百度了下,发现确实是个病毒,也有其他人中招了。
http://www.xujiansheng.cn/2014/01/linux-viruses-iptablex-iptables/
还有那个prwpodebiq,完全没有意义的进程名,如此大的pid,肯定有问题。
[root@localhost /]# find / -name prwpodebiq -print
/boot/prwpodebiq
/etc/rc.d/init.d/prwpodebiq
[root@localhost /]# cd /boot/
[root@localhost boot]# ll
总用量 19858
-rw-r–r–. 1 root root 97862 5月 20 2011 config-2.6.32-71.el6.x86_64
drwxr-xr-x. 3 root root 1024 3月 27 2013 efi
drwxr-xr-x. 2 root root 1024 3月 27 2013 grub
-rw-r–r–. 1 root root 13419499 3月 27 2013 initramfs-2.6.32-71.el6.x86_64.img
lrwxrwxrwx 1 root root 25 9月 16 22:31 IptabLes -> /etc/rc.d/init.d/IptabLes
lrwxrwxrwx 1 root root 25 9月 16 22:31 IptabLex -> /etc/rc.d/init.d/IptabLex
drwx——. 2 root root 12288 3月 27 2013 lost+found
-rwxr-x— 1 root root 613533 9月 21 21:29 prwpodebiq
-rw-r–r–. 1 root root 160542 5月 20 2011 symvers-2.6.32-71.el6.x86_64.gz
-rw-r–r–. 1 root root 2226490 5月 20 2011 System.map-2.6.32-71.el6.x86_64
-rwxr-xr-x. 1 root root 3791040 5月 20 2011 vmlinuz-2.6.32-71.el6.x86_64
[root@localhost boot]# stat prwpodebiq
File: “prwpodebiq”
Size: 613533 Blocks: 1200 IO Block: 1024 普通文件
Device: 801h/2049d Inode: 22 Links: 1
Access: (0750/-rwxr-x—) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2014-09-21 23:16:18.000000000 +0800
Modify: 2014-09-21 21:29:26.000000000 +0800
Change: 2014-09-21 21:29:26.000000000 +0800
777的文件,定位到病毒了。
[root@localhost boot]# find / -name *IptabL* -print
/boot/.IptabLes
/boot/.IptabLex
/etc/rc.d/rc4.d/S55IptabLes
/etc/rc.d/rc4.d/S55IptabLex
/etc/rc.d/rc2.d/S55IptabLes
/etc/rc.d/rc2.d/S55IptabLex
/etc/rc.d/rc3.d/S55IptabLes
/etc/rc.d/rc3.d/S55IptabLex/etc/rc.d/rc5.d/S55IptabLes
以上就是系统大全给大家介绍的如何使的方法都有一定的了解了吧,好了,如果知识兔大家还想了解更多的资讯,那就赶紧点击系统大全官网吧。
本文来自系统大全http://www.win7cn.com/如需转载请注明!推荐:win7纯净版
下载仅供下载体验和测试学习,不得商用和正当使用。
![PICS3D 2020破解版[免加密]_Crosslight PICS3D 2020(含破解补丁)](/d/p156/2-220420222641552.jpg)
