linux 病毒 sfewfesfs

s19930811 ? ? Linux干貨, 安全運維, 系統運維

由于昨天在內網服務器A不小心rm -fr / ,導致服務器A完蛋,重裝系統后,不知道啥原因,局域網癱瘓不能上網,最后發現內網服務器A的一個進程sfewfesfs cpu 300%。路由器被網絡阻塞啦。 于是百度這個病毒:都說該病毒很變態。第一次中linux病毒,幸虧是內網,感覺比較爽。(總結網絡內容,引以為戒)

1、病毒現象

服務器不停向外網發送數據包,占網絡帶寬,甚至導致路由器頻繁重啟。
1) 通過top 或者ps -ef 發現名為sfewfesfs的進程還有.sshddXXXXXXXXXXX(一串隨機數字)的進程。/etc/下能看到名為sfewfesfs,nhgbhhj等多個奇怪名字的文件。重啟后一插網線立即開始執行
2)通過sar -n DEV 就可以看到往外發包的情況。
3)netstat -natlp 可以看到使用哪些端口

2、分析可能原因

曾一度懷疑是安裝u盤的問題,安裝盤是u盤制作的系統安裝引導盤,裝入系統之前是格式化了??戳司W上的資料,應該不是,U盤的問題。
應該開放了服務器的ssh的22端口,并且開放ssh的遠程root登陸。這個服務器又可以通過路由器代理進來,并且登陸密碼也不是那么復雜??赡鼙缓诹?。
22端口的root權限還是不要開了,no zuo no die,頭一次經歷linux中毒曾一度以為是很安全的操作系統。

1)先看看被攻擊者修改過的:/etc/rc.local文件:

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

這是修改過的內容。
這里可以看到,他啟動一系列的進程,并且最后還把防火墻給你關掉了。
那現在好辦了。先找到以上對應的所有文件全部刪除。

2)刪除病毒文件sfewfesfs

進到/etc/ 下面找到與進程對應的文件名 刪掉。

sudo chattr -i /etc/sfewfesfs*  
sudo rm -rf /etc/sfewfesfs*

3) 刪除.SSH2和.SSHH2

這個時候還是不行的,因為這程序啟動后,會衍生出很多的進程。這個時候,找到/etc/下的.SSH2和.SSHH2刪掉。之后找到/tmp/下面所有以.SSH開始的文件,全部刪掉。

用ls -al看到.SSH2隱藏文件,刪除

rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;
/etc和/tmp可能有.sshdd1401029348隱藏文件 用ls -al看到,刪除
sudo rm -rf /tmp/.sshdd140*

4)刪除計劃任務:

到/var/spool/cron/下面把root 和root.1刪掉。
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1
這個時候,病毒程序基本清楚完整了。

5)22端口的root權限還是不要開了:

修改外網映射22端口到XXXX
修改root密碼
passwd
關閉root的22權限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no

5)重啟服務器

轉自:http://blog.csdn.net/hguisu/article/details/40652433

原創文章,作者:s19930811,如若轉載,請注明出處:http://www.www58058.com/2490

(0)
s19930811s19930811
上一篇 2015-04-03
下一篇 2015-04-03

相關推薦

  • 2、基本命令介紹

    http://note.youdao.com/yws/public/redirect/share?id=dbbed5e1e3ecce8712076f11e70fc038&type=false

    Linux干貨 2016-08-08

  • 壓縮、解壓縮和歸檔工具

    1  compress和uncompress 用法:     compress [-dfvcVr] [-b maxbits] [file…] 選項:     -d   解壓縮     -c   結果…

    Linux干貨 2016-08-18

  • LAMP (php-fpm模式)部署出現的奇葩問題

    1. 安裝環境:(cent6.5) yum install -y php php-devel httpd  php-fpm mysql 2. 修改配置文件 vim /etc/httpd/conf/http.conf 注釋掉DocumentRoot vim /etc/httpd/conf.d/vhost.conf <VirtualHost *:…

    2017-04-10

  • 用戶和組的相關配置文件

      用戶,是計算機識別使用者身份的一種唯一使用標識。 而現實生活中為了方便人類記憶使用等,用戶名往往是用便于人類識別的語言來記錄的。但事實上計算機并不對人類語言敏感,所以有必要把人類語言跟機器語言對應上。于是,linux給每一個創建用戶提供了一個UID。當使用用戶名登錄時,系統換自動對應UID來識別該用戶身份。 而用戶名與UID的對應信息就儲存在一…

    Linux干貨 2016-10-23

  • linux中的馬里奧之重定向與管道詳解

    你背單詞時 阿拉斯加的鱈魚正躍出水面 你算數學時 太平洋彼岸的海鷗振翅掠過城市上空 你晚自習時 極圖中的夜空散漫了五彩斑斕 但是少年你別著急 在你為自己未來踏踏實實地努力時 那些你感覺從來不會看到的景色 那些你覺得終身不會遇到的人 正一步步向你走來。          ——網易云熱評《Something Ju…

    2017-07-22

  • 第十周:Linux系統啟動流程及shell腳本練習

    1、請詳細描述CentOS系統的啟動流程(詳細到每個過程系統做了哪些事情) 一張圖足以說明一切: 2、為運行于虛擬機上的CentOS 6添加一塊新硬件,提供兩個主分區;   (1) 為硬盤新建兩個主分區;并為其安裝grub;   (2) 為硬盤的第一個主分區提供內核和ramdisk文件;為第二個分區提供rootfs;   (3)…

    Linux干貨 2016-11-30
欧美性久久久久