记一次入侵Linux服务器和删除木马程序的经历
作者：wangzan18
字体：[ ] 类型：转载 时间：
这篇文章主要介绍了记一次入侵Linux服务器和删除木马程序的经历的相关资料,需要的朋友可以参考下
晚上看到有台服务器流量跑的很高，明显和平常不一样，流量达到了800Mbps，第一感觉应该是中木马了，被人当做肉鸡了，在大量发包。
我们的服务器为了最好性能，防火墙（iptables）什么的都没有开启，但是服务器前面有物理防火墙，而且机器都是做的端口映射，也不是常见的端口，按理来说应该是满安全的，可能最近和木马有缘吧，老是让我遇到，也趁这次机会把发现过程记录一下。
二、发现并追踪处理
1、查看流量图发现问题
查看的时候网页非常卡，有的时候甚至没有响应。
2、top动态查看进程
我马上远程登录出问题的服务器，远程操作很卡，网卡出去的流量非常大，通过top发现了一个异常的进程占用资源比较高，名字不仔细看还真以为是一个Web服务进程。
4、结束异常进程并继续追踪
killall -9 nginx1
rm -f /etc/nginx1
干掉进程之后，流量立刻下来了，远程也不卡顿了，难道删掉程序文件，干掉异常进程我们就认为处理完成了么？想想也肯定没那么简单的，这个是木马啊，肯定还会自己生成程序文件（果然不出我所料，在我没有搞清楚之前，后面确实又生成了）我们得继续追查。
5、查看登录记录及日志文件secure
通过命令last查看账户登录记录，一切正常。查看系统文件message并没有发现什么，但是当我查看secure文件的时候发现有些异常，反正是和认证有关的，应该是尝试连进来控制发包？
7、更多异常文件的发现
查看定时任务文件crontab并没有发现什么一次，然后查看系统启动文件rc.local，也没有什么异常，然后进入/etc/init.d目录查看，发现比较奇怪的脚本文件DbSecuritySpt、selinux。
想到这里，替换的命令应该很多，单靠我们去找肯定是解决不了的，我的建议最好是重装操作系统，并做好安全策略，如果不重装，我下面给一下我的方法，具体行不行有待验证。
三、木马手动清除
现在综合总结了大概步骤如下：
1、简单判断有无木马
#有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
#查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
2、上传如下命令到/root下
ps netstat ss lsof
3、删除如下目录及文件
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马程序
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
4、找出异常程序并杀死
5、删除含木马命令并重新安装(或者把上传的正常程序复制过去也行)
我自己重新安装好像不行，我是找的正常的机器复制的命令。
/root/chattr -i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y 或 cp /root/ps /bin
/root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools -y 或 cp /root/netstat /bin
/root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y 或 cp /root/lsof /usr/sbin
/root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute 或 cp /root/ss /usr/sbin
四、杀毒工具扫描
1、安装杀毒工具clamav
yum -y install clamav clamav-milter
2、启动服务
service clamd restart
3、更新病毒库
由于ClamAV不是最新版本，所以有告警信息。可以忽略或升级最新版本。
[root@mobile ~]# freshclam
ClamAV update process started at Sun Jan 31 03:15:52 2016
WARNING: Can't query current.cvd.clamav.net
WARNING: Invalid DNS reply. Falling back to HTTP mode.
Reading CVD header (main.cvd): WARNING: main.cvd not found on remote server
WARNING: Can't read main.cvd header .clamav.net (IP: 185.100.64.62)
Trying again in 5 secs...
ClamAV update process started at Sun Jan 31 03:16:25 2016
WARNING: Can't query current.cvd.clamav.net
WARNING: Invalid DNS reply. Falling back to HTTP mode.
Reading CVD header (main.cvd): Trying .clamav.net (200.236.31.1)...
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Reading CVD header (daily.cvd): OK (IMS)
daily.cvd is up to date (version: 21325, sigs: 1824133, f-level: 63, builder: neo)
Reading CVD header (bytecode.cvd): OK (IMS)
bytecode.cvd is up to date (version: 271, sigs: 47, f-level: 63, builder: anvilleg)
4、扫描方法
可以使用clamscan -h查看相应的帮助信息
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r --remove /usr/bin/bsd-port
clamscan -r --remove /usr/bin/
5、查看日志发现
把发现的命令删掉替换正常的
附录：Linux.BackDoor.Gates.5
经过查询资料，这个木马应该是Linux.BackDoor.Gates.5，找到一篇文件，内容具体如下：
某些用户有一种根深蒂固的观念，就是目前没有能够真正威胁Linux内核操作系统的恶意软件，然而这种观念正在面临越来越多的挑战。与4月相比，2014年5月Doctor Web公司的技术人员侦测到的Linux恶意软件数量创下了新纪录，六月份这些恶意软件名单中又增加了一系列新的Linux木马，这一新木马家族被命名为Linux.BackDoor.Gates。
在这里描述的是恶意软件家族Linux.BackDoor.Gates中的一个木马：Linux.BackDoor.Gates.5，此恶意软件结合了传统后门程序和DDoS攻击木马的功能，用于感染32位Linux版本，根据其特征可以断定，是与Linux.DnsAmp和Linux.DDoS家族木马同出于一个病毒编写者之手。新木马由两个功能模块构成：基本模块是能够执行不法分子所发指令的后门程序，第二个模块在安装过程中保存到硬盘，用于进行DDoS攻击。Linux.BackDoor.Gates.5在运行过程中收集并向不法分子转发受感染电脑的以下信息：
CPU核数（从/proc/cpuinfo读取）。
CPU速度（从/proc/cpuinfo读取）。
CPU使用（从/proc/stat读取）。
Gate'a的 IP（从/proc/net/route读取）。
Gate'a的MAC地址（从/proc/net/arp读取）。
网络接口信息（从/proc/net/dev读取）。
网络设备的MAC地址。
内存（使用/proc/meminfo中的MemTotal参数）。
发送和接收的数据量（从/proc/net/dev读取）。
操作系统名称和版本（通过调用uname命令）。
启动后，Linux.BackDoor.Gates.5会检查其启动文件夹的路径，根据检查得到的结果实现四种行为模式。
如果后门程序的可执行文件的路径与netstat、lsof、ps工具的路径不一致，木马会伪装成守护程序在系统中启动，然后进行初始化，在初始化过程中解压配置文件。配置文件包含木马运行所必须的各种数据，如管理服务器IP地址和端口、后门程序安装参数等。
根据配置文件中的g_iGatsIsFx参数值，木马或主动连接管理服务器，或等待连接：成功安装后，后门程序会检测与其连接的站点的IP地址，之后将站点作为命令服务器。
木马在安装过程中检查文件/tmp/moni.lock，如果该文件不为空，则读取其中的数据（PID进程）并“干掉”该ID进程。然后Linux.BackDoor.Gates.5会检查系统中是否启动了DDoS模块和后门程序自有进程（如果已启动，这些进程同样会被“干掉”）。如果配置文件中设置有专门的标志g_iIsService，木马通过在文件/etc/init.d/中写入命令行
#!/bin/bash\n&path_to_backdoor&将自己设为自启动，然后Linux.BackDoor.Gates.5创建下列符号链接：
ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt
如果在配置文件中设置有标志g_bDoBackdoor，木马同样会试图打开/root/.profile文件，检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段，Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本，命名为配置文件中设置的相应名称，并取代下列工具：
/bin/netstat
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
木马以此完成安装，并开始调用基本功能。
执行另外两种算法时木马同样会伪装成守护进程在被感染电脑启动，检查其组件是否通过读取相应的.lock文件启动（如果未启动，则启动组件），但在保存文件和注册自启动时使用不同的名称。
与命令服务器设置连接后，Linux.BackDoor.Gates.5接收来自服务器的配置数据和僵尸电脑需完成的命令。按照不法分子的指令，木马能够实现自动更新，对指定IP地址和端口的远程站点发起或停止DDoS攻击，执行配置数据所包含的命令或通过与指定IP地址的远程站点建立连接来执行其他命令。
此后门程序的主要DDoS攻击目标是中国的服务器，然而不法分子攻击对象也包括其他国家。下图为利用此木马进行的DDoS攻击的地理分布：
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具查看:7734|回复：28
自从上次收一个傻 比的文件以后点开了..晚上出去回来输入指纹就提示什么指纹输入错误,我的电脑是笔记本。带指纹识别的。我现在该怎么办啊?他都已经来了我电脑上三次了.操他妈的.有什么办法啊???并且我在CMD下输入netstat 出现很多ESABLISHED
不要提什么装系统....我没有移动硬盘.
(28.41 KB)
这是怎么回事啊???求高手解决啊
已经来了我的电脑三次了....操他妈的....求解决啊...不要说什么重做系统的废话...我要能重做系统还需要到这里来问?
助理工程师
呵呵呵，好多熟悉的端口，触目惊心啊，重装吧，真的。不然你一个一个杀到猴年马月啊？重装不需要移动硬盘。。。还有，文明用词。。你骂人家煞笔，你接收了煞笔的文件，来路不明还打开。。。那？？
本帖最后由 电子人 于
11:22 编辑
该用户已被禁言
我给你说个步骤：
你可以查看进程，如果出现可疑进程。
干掉它，然后去注册表里删除相应的项。
然后，找到源文件，或者病毒运行释放的文件。删除掉就OK。
辅助工具：冰刃。
-------------------------------------------------------------
其实病毒没有那么可怕。要不，全盘查毒也成。
欢迎来51CTO攻防板块：
---------------------------------------------------------
钓鱼岛是中国的，苍井空是世界的！
-------------------------------
老大。。。现在的问题是。。。。我用360杀毒软件杀了。没查杀出病毒。。之后我又用瑞星杀毒杀了。。。。也没杀出啊。。。怎么回事啊？？？？？？？问题是我的机器里有很多文件啊。。。仅仅重装系统我怕不能完全的解决问题啊。。。我在想是不是要把文件拷贝到我的移动硬盘上。。。。然后全部重新格式化重新分区。重新安装。速度答复啊。老大
引用:原帖由 电子人 于
11:17 发表
呵呵呵，好多熟悉的端口，触目惊心啊，重装吧，真的。不然你一个一个杀到猴年马月啊？重装不需要移动硬盘。。。还有，文明用词。。你骂人家煞笔，你接收了煞笔的文件，来路不明还打开。。。那？？ ... 他当时要我帮他看数据库编程的文件。。。。我也没多想。就点开了。。。谁知道操他妈的。。。被整了。操
助理工程师
安全模式下面杀毒，确保是最新的杀毒软件，要么，你先重装了，C盘应该没重要东西吧？装完系统后其他盘先不要双击打开，右键，打开，看看有什么隐藏的诡异文件没有，没有的话就万事大吉了。然后。。那人你现实认识？直接找人过去废了他
引用:原帖由 电子人 于
17:37 发表
安全模式下面杀毒，确保是最新的杀毒软件，要么，你先重装了，C盘应该没重要东西吧？装完系统后其他盘先不要双击打开，右键，打开，看看有什么隐藏的诡异文件没有，没有的话就万事大吉了。然后。。那人你现实认识？直接找人过去废了他 ... 我今天已经把系统重装了....刚才...现在的问题是..我的电脑是有密码和指纹识别的..如果他想进入我的机器的话...没有密码没有指纹能进吗???我自己今天也做了个实验.联想的笔记本只要输入指纹错误5次就会显示入侵锁定..然后倒记时...这样可不可以认为他入侵我的机器不成功?
重装系统后乱七八糟的端口真的少了很多很多..........
还有...你说的为什么一定不能双击其他盘符.双击了的后果是怎样的???
:L&&大哥，你确定你被入侵了？看端口你能看出什么？我家也有很多开放端口，菜鸟的提问
该用户已被禁言
先把杀软更新到最新，全盘查毒。
对了，你的电脑如果没有开机，或者开机了，没有连接Internet，没人能进你电脑（远程）
除非神仙下凡。
===============================================
都给你说了。
你可以查看进程，如果出现可疑进程。
干掉它，然后去注册表里删除相应的项。
然后，找到源文件，或者病毒运行释放的文件。删除掉就OK。
辅助工具：冰刃。
==============================================
2.如果是远控生成的木马的话，是不会破坏文件的。
它会在启动项里自动添加一个启动项目。
方法：进安全模式。然后运行---&msconfig。进启动项，如果发现可疑启动项目，禁止它。
然后去注册表里删除相应的项。然后根据“启动”里显示的路径找到病毒源文件，删除就OK了。
=======================================================================
参考资料：
1 先升级杀毒软件到最新，对系统进行全面的检查扫描。&&
& & 2 点击工具→文件夹选项→查看 把隐藏受保护的操作系统文件（推荐）和隐藏已知文件类型的扩展名 这两项前面的勾去掉，以方便查看。&&
& & 3 查看Windows目录下的WIN.INI文件中开头的几行：[WINDOWS] load= ren=这里放的是启动Windows自动执行的程序，可以看看对比对比一下。&&
& & 4 查看Windows目录下的SYSTEM.INI文件中的这几行：[386Enh] device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径，如：device=c：\windows\system32\tianyangdemeng.exe（这里只是打个比方）&&
& & 5 查看开始菜单中的「程序」→「启动」。这里放的也是启动Windows自动执行的程序，如果有的话，它就放在C：\Windows\Start Menu\Programs\中，将它保存在较安全的地方后再删除，需要恢复时在拿出来恢复即可。
6 在「开始」→「运行」中输入&MSCONFIG&查看是否有可疑的启动项，你也许会问，前面不是说了吗？其实，这两种方法是不同的，你分别用这两个方法查看一下就会发现不同了，至于要说更深入点，说实在话，我也不知道。呵呵不要笑话，希望高手出来解答一下！&&
& & 7 查看注册表，在「开始」→「运行」中输入“REGEDIT”。&&
& & 先对注册表进行备份，才对注册查看。（一定要养成一个习惯，在修改木文件时，对自己没有把握的需要先进行备份）&&
& & 查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和Run项，看看有没有可疑的程序。&&
& & 查看 HKEY_CLASSES_ROOT\EXEFILE\SHELL\OPEN\COMMAND，看看是否有。EXE文件关联的木马，正确值为&%1&%*
& & 查看 HKEY_CLASSES_ROOT\INFFILE\SHELL\OPEN\COMMAND，看看是否有。INF文件关联的木马，正确值为&SYSTEM ROOT%\SYSTEM32\NOTEPAD.EXE%1查看 HKEY_CLASSES_ROOT\TXTFILE\SHELL\OPEN\COMMAND，看看是否有。TXT文件关联的木马，正确值为%SYSTEM ROOT%\SYSTEM32\NOTEPAD.EXE%1启动CMD，输入NETSTAT -AN 查看有没有异常的端口。&&
& & 8 Windows中的执行文件。exe、。com、。dll ……它们都有可能是黑客放置的病毒或是黑客病毒的携带者。在系统正常的时候，把以上文件做一个备份，到需要的时候就可以写回去！&&
& & 9 在Windows目录下，看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件，不过，它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序，把它记录下来，到百度查一下，一般这个自动批处理文件是不会被用到的。（只能凭经验判断了）&&
& & 10 查看c：\autoexec.bat与c：\config.sys，这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。&&
& & 11 右击「我的电脑」→事件查看器 查看安全日志，看看里面有没有可疑的内容。
& & 12 在CMD下输入NET USER 看看有没有可疑的用户，出现自己不曾设立的用户，马上用NET USER ABCD /DEL 把它删除。
欢迎来51CTO攻防板块：
---------------------------------------------------------
钓鱼岛是中国的，苍井空是世界的！
-------------------------------
该用户已被禁言
对了，如果你还没有解决了。
你问那个“傻逼”再要一份那个程序。
然后再虚拟机里测试下，有软件可以监视运行后的程序具体干了些神马。。
比如：程序运行之后释放了什么文件，开启了那些服务等等。
搞清楚这些，干死病毒就像你写hello word程序那么简单。
欢迎来51CTO攻防板块：
---------------------------------------------------------
钓鱼岛是中国的，苍井空是世界的！
-------------------------------
助理工程师
看看1~1024以上的大的端口，比如8000.就是著名的灰鸽子木马
中级工程师
把那个东西拿到虚拟机里，再装个MD或者COMODO，然后调试到自定义模式，看它神仙个屁。找不到icesword还有Power tools , XueTx,一大堆内核级工具
最好的方法
下载偏门的杀毒软件。杀毒。装他的5 6个杀软。我就不信。
之后嘛 就简单了。找到他本人，肉搏。
就靠几个端口就断定你被入侵了？
你也太牛B了！
助理工程师
ESABLISHED在“netstat”中是打开一个连接的意思，这麽多，太不正常了，根据你的描述，可能已经被人入侵了，并篡改了你的系统设置，如果你对网络技术比较了解的话，不但可以找出那个黑客入侵的工具，还可以使用技术手段进行网络追踪，找到入侵者的真实ip地址和MAC地址，技术再高的的话还可以实施黑客反入侵，进入入侵者的计算机寻找他入侵你的机子是带走的文件和资料，甚至他入侵你的证据;如果你没有那摩高的技术，没有关系，你把那个黑客工具（木马）清除掉，再做一些安全防范，不知道怎么做的话，还可以咨询安全方面的专家，祝你好运。
助理工程师
你错了，杀毒软件是不能同时安装运行的，因为杀毒软件之间会产生冲突。||||||||||
||||||||||
查看: 1781|回复: 12
(非本站问题)紧急提醒：该网站被木马病毒入侵？
阅读权限55
在线时间 小时
注册家电维修技术论坛，与同行畅聊维修技术，享更多技术论坛功能。
才可以下载或查看，没有帐号？
刚才访问个人空间时，我的电脑瑞星杀毒软件提醒，该网站被木马病毒入侵。在打开郑毅老弟的网页显示的。请问管理员是空间网站被侵，还是他个人电脑被侵。
经查实不是本站的问题！
阅读权限55
在线时间 小时
我查清楚了，是百度绿色导航被入侵了。
阅读权限50
在线时间 小时
wy_wangzhe
& & 请帮帮我是否我的网页被病毒入侵，——老实说，我对电脑门外的很！
阅读权限50
在线时间 小时
wy_wangzhe
& && &&&你怎么查的&百度绿色导航被入侵了”指点我一下好吗？谢谢！
阅读权限200
在线时间 小时
原来虚惊一场，不是本站的问题。
阅读权限45
在线时间 小时
最好不是本站的问题，
阅读权限55
在线时间 小时
本帖最后由 wy_wangzhe 于
18:36 编辑
回4＃郑毅老弟，我上网当访问你的网页时，电脑显示网站木马入侵，我以为是你的电脑或是家电维修网中了木马病毒，过了十分钟我的电脑显示是百度绿色导航网站被木马入侵，我上网用的百度绿色导航，一小时后网站恢复正常。让我虚惊一场！各个大的网站被木马入侵经常发生。只要你电脑装好防火墙，装好杀毒软件。经常清理垃圾，经常给杀毒软件升级，经常杀毒，估计问题不大。你开机上网的时间比平时慢了许多时估计你的电脑带毒了，那你就随时杀一下毒。有一个叫一键恢复的小硬件，价格10元左右，装上他一旦电脑中毒，系统崩溃，软件中的一键恢复不起作用时，这个小硬件很管用。电脑初学者很需要这个小硬件。随着一键恢复，你电脑中的病毒和你下载的资料也就统统没了。最好花几十元买个U盘，把平时下载的资料存起来。我在电脑上也很外行，建议你电脑上有什么不懂得，请教版主佳善人好了。
阅读权限55
在线时间 小时
可得好好的学习了。。。。。。
阅读权限50
在线时间 小时
真心感谢wy-wangzhe老兄指教！
阅读权限60
在线时间 小时
wy_wangzhe
& & 你的方法对于一个初学者来说很重要，另外提醒初学者一下，一些有用的资料、文件夹等，不要放在c：盘、桌面，我的文档里，以备防止恢复时丢失。最好备一块移动硬盘，因为U盘可靠性还是差一点。
( 鄂ICP备 号-1 )&&
Powered by Discuz! X3.2
Comsenz Inc.
CopyRight ©
电子邮箱：
QQ：8794149
官方网址：
Qiji. All Rights Reserved
Wuhan Qiji Technology Co., Ltd.武汉奇迹科技有限公司版权所有拒绝访问 | www. | 百度云加速
请打开cookies.
此网站 (www.) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(3b77c7b176b34388-ua98).
重新安装浏览器，或使用别的浏览器