linux中sfewfesfs病毒防御与其中表现。中招的2个机子系统是scientific Linux 6.5 64bit。几乎将系统整个上传带宽都用尽了,一直向外部发送数据,造成网络堵塞。找到病毒文件无法正常删除,需要变更文件属性。删除后自动重新回复,需要把其他相关文件也删除。网络上找了几个别人也中招的例子,主要过程也类似。
我们的重点:
1.通过查看占用端口
netstat -atunlp
看到sfewfesfs和.sshdd1401029348进程在发包,主要时观察到ip地址:115.231.17.9
这个ip用到的进程都有问题,都要删除
(
sudo chattr -i /etc/sfewfesfs*
sudo rm -rf /etc/sfewfesfs*
)。
2.使用ls -l /proc/进程的pid。查看该进程使用的文件,然后强制删除。
3.对于能过xinetd程序启动的网络服务,比如ftp telnet,我们就可以修改/etc/hosts.allow和/etc/hosts.deny的配制,来许可或者拒绝哪些IP、主机、用户可以访问。
(http://lnote.blogbus.com/logs/10183525.html)
比如我们在 /etc/hosts.allow中加入
all:218.24.129.
这样就会允许来自218.24.129.*域的所有的客户来访问。这只是举个例子,实际上,系统默认状态 下,都是能用这些网络服的
如果我们在 /etc/hosts.deny中加入,就限制了来自115.231.17.*域的所有的所有的IP。
all:115.231.17.
如果我们在 /etc/hosts.deny中加入
all:115.231.17.9,这样就限制了所有在115.231.17.9中的所有的用户的访问。
当hosts.allow和 host.deny相冲突时,以hosts.allow设置优化。
4.设置好后,要重新启动(第一条貌似不管用)
# /etc/rc.d/init.d/xinetd restart
# /etc/rc.d/init.d/network restart
不是任何服务程序都能使用TCP_wrappers的,例如使用命令ldd /usr/sbin/sshd,如果输出中有libwrap,则说明可以使用TCP_wrappers, 即该服务可以使用/etc/hosts.allow和/etc/hosts.deny,如果输出没有libwrap则不可使用
#########################
#附上删除所有文件的快速脚本:
chattr -i /etc/sfewfesfs*
rm -rf /etc/sfewfesfs*
rm -rf /etc/nhgbhhj*
rm -rf /var/spool/cron/root
rm -rf /etc/.SSH2
rm -rf /etc/.SSHH2
rm -rf /tmp/.sshdd1*
rm -rf /etc/gfhjrtfyhuf*
rm -rf /etc/gdmorpen
rm -rf /etc/smarvtd
rm -rf /etc/whitptabil
#########################
@@@@@@@@@@@@@@@@@@@@@@@@@@@@
#之后进入到/etc/rc.d/rc.local中,,发现如下语句。。。:
touch /var/lock/subsys/local
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
基本都是病毒吧。。。
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
5.可以再次运行netstat -atunlp观察是否仍有异常经常,重启系统,再次观察,如有异常,找到文件删文件。
网络资源:
http://bbs.chinaunix.net/thread-4144495-1-1.html
环境
centos 6.5,开放22端口root权限,密码长度8位字母加数字全小写无规律
————————————————————————————-
现象
服务器不停往外发包,带宽占满(5分钟能发10G)。能看到名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行。
————————————————————————————-
解决过程
修改外网映射22端口到XXXX
修改root密码
passwd
关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no
查看占用端口
netstat -atunlp
看到sfewfesfs和.sshdd1401029348进程在发包
查看进程位置
ll /proc/进程PID
参考http://blog.chinaunix.net/uid-1819848-id-4288137.html
删除病毒文件
sudo chattr -i /etc/sfewfesfs*
sudo rm -rf /etc/sfewfesfs*
看到名为nhgbhhj的可疑文件一并删除
sudo rm -rf /etc/nhgbhhj
删除计划任务
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1
参考http://www.linuxquestions.org/qu … malware-4175501872/
用ls -al看到.SSH2隐藏文件,删除
sudo rm -rf /etc/.SSH2
用ls -al看到.sshdd1401029348隐藏文件,删除
sudo rm -rf /tmp/.sshdd140*
重启服务器,搞定。
其他,中招后重装过一次系统但立即又中,曾一度怀疑是安装盘的问题-_-!,22端口的root权限还是不要开了,nozuonodie,头一次经历linux中毒曾一度以为是很安全的操作系统-_-!,中过一次才觉得爽,大意了。
病毒具体作用机制本人能力有限没精力仔细研究了,还得大神们来,据说这个是4月份的新病毒,网上可查资料不多,借此复习了一下linux命令。