今天机房管理人员反馈公司的某台服务器在防火墙上的连接数超限,登陆服务器时发现非常卡顿,远程登录后查看,CPU持续100%,且有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crontab,并没有发现相关定时任务,整个排查思路如下:

1、查看主机负载,确认可疑进程

 PID USER  PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND

13784 root 20 0 31652 548 204 S 101.9 0.0 39:57.21 fknnknlajk 

1 root 20 0 19364 812 616 S 2.0 0.0 4:35.69 init

10060 root 20 0 2739m 162m 9320 S 2.0 4.1 288:20.81 asterisk

11105 oracle 20 0 1931m 17m 16m S 2.0 0.4 4:01.23 ora_gen0_orcl

29775 root 20 0 1352 884 160 S 2.0 0.0 0:00.02 camrgawfg

2、确认可疑进程尝试杀掉,但是发现一会儿就会出现新的10位随机字符串进程,怀疑有定时任务

3、排查定时任务

no crontab for root

  每个用户都查了,都是上面的提示,没有定时任务,什么鬼?

4、尝试查找最近3天内更新的文件

find /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin -mtime -3

/bin

/bin/wfukohsuk

/bin/wfukohsuk.sh

/bin/kushokufw

/usr/bin

/usr/bin/fknnknlajk

/usr/sbin

  发现可以文件,其中/bin/wfukohsuk.sh的内容如下:

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

cp "/bin/wfukohsuk" "/bin/pqzllxphin"

"/bin/pqzllxphin"

  看脚本的样子,也不像是问题的源头,手动删除这些文件也还是会生成。

5、因为现象是肯定有一个任务定时的检查生成,后来抱着怀疑的态度去看了crontab的日志

tail -f  /var/log/cron

Jun 21 12:01:01 localhost run-parts(/etc/cron.hourly)[14504]: finished gcc.sh

Jun 21 12:01:01 localhost run-parts(/etc/cron.hourly)[14479]: starting wfukohsuk.sh

Jun 21 12:01:01 localhost run-parts(/etc/cron.hourly)[14516]: finished wfukohsuk.sh

Jun 21 12:03:01 localhost CROND[15290]: (root) CMD (/etc/cron.hourly/gcc.sh)

Jun 21 12:06:01 localhost CROND[16444]: (root) CMD (/etc/cron.hourly/gcc.sh)

Jun 21 12:09:01 localhost CROND[17615]: (root) CMD (/etc/cron.hourly/gcc.sh)

Jun 21 12:10:01 localhost CROND[18013]: (root) CMD (/usr/lib64/sa/sa1 1 1)

Jun 21 12:12:01 localhost CROND[18806]: (root) CMD (/etc/cron.hourly/gcc.sh)

Jun 21 12:15:01 localhost CROND[19962]: (root) CMD (/etc/cron.hourly/gcc.sh)

  竟然发现有定时任务在执行,这是什么情况?crontab -l中明明没有。后来才发现原来:

    •  crontab -l 检查的是  /var/spool/cron
    • 定时任务不规范的路径还有一个 /etc/crontab

6、查看/etc/crontab文件,发现可疑定时任务

# tail /etc/crontab

*/3 * * * * root /etc/cron.hourly/gcc.sh

7、看到定时任务我就放心了,终于找到问题所在了

cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

  发现是一个叫libudev.so.6的病毒,我做了如下处理

8、杀毒

#删除定时任务,给crontab加锁

rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

#删除找到的启动脚本

find /etc -name 'fknnknlajk'

/etc/rc.d/init.d/fknnknlajk

find /etc -name 'fknnknlajk'  | xargs rm -f

#找到可能的病毒文件,并删除

find /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin -mtime -3

  以为已经杀了毒了,但是删完一查,病毒文件有出来了,在cron.hourly/下产生了其他的病毒文件

# ls

0anacron  dcyeuoisnrumrj.sh

# tail -f dcyeuoisnrumrj.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

cp "/bin/dcyeuoisnrumrj" "/bin/mlucxcxfda"

"/bin/mlucxcxfda"

  才发现并没有那么简单。

9、反查

  • 病毒母文件已经删除
  • 定时任务已经清理
  • 感染的文件/etc/init.d,/bin,/usr/bin 已经清理干净了

  然后下意识用ps查了下进程发现没有异常进程了,top看了下负载,哦? 出现了可疑进程,怀疑是没有停掉的进程新创建了新文件

#停止病毒进程,确认病毒PID

kill -STOP 16452

#查找启动脚本,删除文件(发现病毒的启动文件为S90/K90)

find /etc -name '*90*' | xargs rm -f

#删除病毒文件

rm -rf /etc/cron.hourly/itfitufnyqsvg.sh

#删除病毒文件

find /bin -mtime -1 | xargs rm -f

#杀掉进程

pkill 16452

10、总结

  1、首先肯定是root密码过弱,因为是用来测试的,就没注意。

  2、处理的过程中还是有一些思路不是特别清晰,还需要梳理

Linux服务器中毒事件(libudev.so)的更多相关文章

  1. Linux服务器应急事件溯源报告

    Linux服务器应急事件溯源报告 小博博 · 2016/02/18 17:43 Author:Inn0team 0x00 目录 关于目标环境的中间进度检测报告 一:情况概述 二:取证情况 2.1 目标 ...

  2. linux服务器中毒可疑进程sfewfesfs CPU80%

    我用的是wdlinux, 难免会有漏洞,不知怎么就被莫名其妙地给入侵了,而且还频繁发包.下面是我查看攻击机器的整个过程. 首先跟客户要了root密码登录看,第一个命令是就top cd /proc/25 ...

  3. (分享)Linux服务器如何防止中木马

    大家的windows机器可能经常装一些杀毒软件或者什么的来防止中毒,然而在Linux上我们应该怎么防止这些呢? 在面试过程中我们也经常遇到该类问题,那么我们应该怎么回答才显得既有逻辑又有深度呢? 首先 ...

  4. 记一次Linux服务器上查杀木马经历

    开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

  5. Linux服务器的那些性能参数指标

    Linux服务器的那些性能参数指标 一个基于Linux操作系统的服务器运行的同时,也会表征出各种各样参数信息.通常来说运维人员.系统管理员会对这些数据会极为敏感,但是这些参数对于开发者来说也十分重要, ...

  6. 高性能Linux服务器 第11章 构建高可用的LVS负载均衡集群

    高性能Linux服务器 第11章 构建高可用的LVS负载均衡集群 libnet软件包<-依赖-heartbeat(包含ldirectord插件(需要perl-MailTools的rpm包)) l ...

  7. 线上Linux服务器运维安全策略经验分享

    线上Linux服务器运维安全策略经验分享 https://mp.weixin.qq.com/s?__biz=MjM5NTU2MTQwNA==&mid=402022683&idx=1&a ...

  8. jboss漏洞导致服务器中毒

    中毒现象 1. 网络出现拥塞,访问延迟增加. 2. 系统定时任务表中出现异常的定时任务. 3. 出现异常进程. 4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件.     现象 ...

  9. Linux服务器集群技术的概述

    目前,越来越多的网站采用Linux操作系统,提供邮件.Web.文件存储.数据库等服务.也有非常多的公司在企业内部网中利用Linux服务器提供这些服务.随着人们对Linux服务器依赖的加深,对其可靠性. ...

随机推荐

  1. es6中类的注意事项

    class Circle { constructor(radius) { this.radius = radius; Circle.circlesMade++; }; static draw(circ ...

  2. IDA动态调试SO文件

    1. 所需工具 IDA Pro 6.6. 安卓SDK工具 2. 模拟器设置 将ida所在目录的dbgsrv文件夹内的android_server文件push到模拟器中. 设置777属性 启动调试服务器 ...

  3. Linux系统学习笔记(1)

    学习地址:http://www.runoob.com/linux/linux-tutorial.html 1.学习Windows和Linux哪个比较难? 前期是Windows容易学习,后期是Linux ...

  4. 使用Vue-cli 3.x搭建Vue项目

    一.Vue-cli 3.x安装 Node 版本要求:Vue CLI 需要 Node.js 8.9 或更高版本 (推荐 8.11.0+) npm install -g @vue/cli 查版本是否正确 ...

  5. Python 常见的错误类型和继承关系

    Python所有的错误都是从BaseException类派生 BaseException +-- SystemExit +-- KeyboardInterrupt +-- GeneratorExit ...

  6. Qt 加载Leap motion 手势识别软件 二次开发 hello world

    研发需要对收拾是被进行精确定位,实现收拾的识别,和在虚拟现实中精确的显示手势在实际世界中的位置. 开始使用的Qt mingw的版本开发,总是函数没有定义,最后发现是leap sdk中需要代育vs的库文 ...

  7. Leetcode 673.最长递增子序列的个数

    最长递增子序列的个数 给定一个未排序的整数数组,找到最长递增子序列的个数. 示例 1: 输入: [1,3,5,4,7] 输出: 2 解释: 有两个最长递增子序列,分别是 [1, 3, 4, 7] 和[ ...

  8. windows下git hub的GUI软件配置与使用

    转载自:http://www.cnblogs.com/haore147/p/3618930.html   1. 安装两个软件 1 2 1. git的命令行程序--git for windows:htt ...

  9. 转 Using $.ajaxPrefilter() To Configure AJAX Requests In jQuery 1.5

    Using $.ajaxPrefilter() To Configure AJAX Requests In jQuery 1.5 Posted February 18, 2011 at 6:29 PM ...

  10. python学习笔记-list的用法

    1.list的定义 list = [] list = [1,2,'a','b'](list中的元素不一定是一个类型) 2.list的操作 1)list.append(value) 2)list.ins ...