真实案例记录Linux被植入rootkit导致服务器带宽跑满的解决过程( 二 ) _Linux

文章插图

由于无法判断，用了最笨的办法，找了一台正常的机器，查看了一下ps命令这个文件的大小，发现只有80K左右，又检查了/usr/bin/dpkgd/ps，发现文件大小不对，接着又检查了两个文件的md5，发现也不一样。

初步判断，这些文件都伪装的外壳命令，其实都是有后门的木马.

继续查看系统可疑目录，首先查看定时任务文件crontab，并没有发现异常，然后查看系统启动文件rc.local，也没有什么异常，接着进入/etc/init.d目录查看，又发现了比较奇怪的脚本文件DbSecuritySpt、selinux，如下图所示：

文章插图

这两个文件在正常的系统下是没有的，所以也初步断定是异常文件。
接着继续查看系统进程，通过ps -ef命令，又发现了几个异常进程，一个是/usr/bin/bsd-port，另一个是/usr/sbin/.sshd，这两个进程时隐时现，在出现的瞬间被我抓到了。
查看发现/usr/bin/bsd-port是个目录，进入目录，发行了几个文件，如下图：

文章插图

有getty字眼，这不是终端管理程序吗，它用来开启终端，进行终端的初始化，设置终端，这里出现了终端，马上联想到是否跟登录相关，于是紧接着，又发现了/usr/sbin/.sshd，很明显，这个隐藏的二进制文件.sshd就是个后门文件，表面像sshd进程，其实完全不是。

最后，又查看了木马最喜欢出现的目录/tmp，也发现了异常文件，从名字上感觉好像是监控木马程序的，如下图所示：

文章插图

检查到这里，基本查明了系统中可能出现的异常文件，当然，不排除还有更多的，下面的排查就是查找更多可疑文件，然后删除即可。
3、查杀病毒文件
要清楚系统中的牧马病毒，第一步要做的是先清除这些可疑的文件，这里总结了下此类植入牧马各种可疑的文件，供大家参考：
检查是否有下面路径文件
cat /etc/rc.d/init.d/selinuxcat /etc/rc.d/init.d/DbSecuritySptls /usr/bin/bsd-portls /usr/bin/dpkgd检查下面文件大小是否正常，可以和正常机器中的文件做比对：
ls -lh /bin/netstatls -lh /bin/psls -lh /usr/sbin/lsofls -lh /usr/sbin/ss如果发现有上面可疑文件，需要全部删除，可删除的文件或目录如下：
rm -rf /usr/bin/dpkgd (ps netstat lsof ss) #这是加壳命令目录rm -rf /usr/bin/bsd-port #这是木马程序rm -f /usr/bin/.sshd #这是木马后门rm -f /tmp/gates.lodrm -f /tmp/moni.lodrm -f /etc/rc.d/init.d/DbSecuritySpt #这是启动上述描述的那些木马后的变种程序rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt #删除自启动rm -f /etc/rc.d/rc2.d/S97DbSecuritySptrm -f /etc/rc.d/rc3.d/S97DbSecuritySptrm -f /etc/rc.d/rc4.d/S97DbSecuritySptrm -f /etc/rc.d/rc5.d/S97DbSecuritySptrm -f /etc/rc.d/init.d/selinux #这个selinux是个假象，其实启动的是/usr/bin/bsd-port/getty程序rm -f /etc/rc.d/rc1.d/S99selinux #删除自启动rm -f /etc/rc.d/rc2.d/S99selinuxrm -f /etc/rc.d/rc3.d/S99selinuxrm -f /etc/rc.d/rc4.d/S99selinuxrm -f /etc/rc.d/rc5.d/S99selinux上面的一些命令(ps netstat lsof ss)删除后，系统中这些命令就不能使用了，怎么恢复这些命令呢，有两种方式：一个是从别的同版本机器上拷贝一个正常的文件过来，另一个是通过rpm文件重新安装这些命令。
例如，删除了ps命令后，可以通过yum安装ps命令：
[root@server ~]#yum -y reinstall procps其中，procps包中包含了ps命令。
[root@server ~]#yum -y reinstall net-tools[root@server ~]#yum -y reinstall lsof[root@server ~]#yum -y reinstall iproute上面三个命令是依次重新安装netstat、lsof、ss命令。
4、找出异常程序并杀死
所有可疑文件都删除后，通过top、ps等命令查看可疑进程，全部kill掉即可，这样进程kill之后，因为启动文件已经清除，所以也就不会再次启动或者生成牧马文件了。

这个案例是个典型的文件级别rootkit植入系统导致的，最后检查植入的原因是由于这台oracle服务器有外网IP，并且没设置任何防火墙策略，同时，服务器上有个oracle用户，密码和用户名一样，这样一来，黑客通过服务器暴露在外网的22端口，然后通过暴力破解，通过这个oracle用户登录到了系统上，进而植入了这个rootkit病毒。

三、Linux安全防护工具ClamAV的使用
ClamAV是一个在命令行下查毒软件，是免费开源产品，支持多种平台，如：Linux/Unix、mac OS X、windows、OpenVMS 。ClamAV是基于病毒扫描的命令行工具，但同时也有支持图形界面的ClamTK工具。为什么说是查毒软件呢，因为它不将杀毒作为主要功能，默认只能查出您服务器内的病毒，但是无法清除，至多删除文件。不过这样，已经对我们有很大帮助了。