今天机房管理人员反馈公司的某台服务器在防火墙上的连接数超限,登陆服务器时发现非常卡顿,远程登录后查看,CPU持续100%,且有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crontab,并没有发现相关定时任务,整个排查思路如下:

1、查看主机负载,确认可疑进程

 PID USER  PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND

13784 root 20 0 31652 548 204 S 101.9 0.0 39:57.21 fknnknlajk 

1 root 20 0 19364 812 616 S 2.0 0.0 4:35.69 init

10060 root 20 0 2739m 162m 9320 S 2.0 4.1 288:20.81 asterisk

11105 oracle 20 0 1931m 17m 16m S 2.0 0.4 4:01.23 ora_gen0_orcl

29775 root 20 0 1352 884 160 S 2.0 0.0 0:00.02 camrgawfg

2、确认可疑进程尝试杀掉,但是发现一会儿就会出现新的10位随机字符串进程,怀疑有定时任务

3、排查定时任务

no crontab for root

  每个用户都查了,都是上面的提示,没有定时任务,什么鬼?

4、尝试查找最近3天内更新的文件

find /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin -mtime -3

/bin

/bin/wfukohsuk

/bin/wfukohsuk.sh

/bin/kushokufw

/usr/bin

/usr/bin/fknnknlajk

/usr/sbin

  发现可以文件,其中/bin/wfukohsuk.sh的内容如下:

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

cp "/bin/wfukohsuk" "/bin/pqzllxphin"

"/bin/pqzllxphin"

  看脚本的样子,也不像是问题的源头,手动删除这些文件也还是会生成。

5、因为现象是肯定有一个任务定时的检查生成,后来抱着怀疑的态度去看了crontab的日志

tail -f  /var/log/cron

Jun 21 12:01:01 localhost run-parts(/etc/cron.hourly)[14504]: finished gcc.sh

Jun 21 12:01:01 localhost run-parts(/etc/cron.hourly)[14479]: starting wfukohsuk.sh

Jun 21 12:01:01 localhost run-parts(/etc/cron.hourly)[14516]: finished wfukohsuk.sh

Jun 21 12:03:01 localhost CROND[15290]: (root) CMD (/etc/cron.hourly/gcc.sh)

Jun 21 12:06:01 localhost CROND[16444]: (root) CMD (/etc/cron.hourly/gcc.sh)

Jun 21 12:09:01 localhost CROND[17615]: (root) CMD (/etc/cron.hourly/gcc.sh)

Jun 21 12:10:01 localhost CROND[18013]: (root) CMD (/usr/lib64/sa/sa1 1 1)

Jun 21 12:12:01 localhost CROND[18806]: (root) CMD (/etc/cron.hourly/gcc.sh)

Jun 21 12:15:01 localhost CROND[19962]: (root) CMD (/etc/cron.hourly/gcc.sh)

  竟然发现有定时任务在执行,这是什么情况?crontab -l中明明没有。后来才发现原来:

    •  crontab -l 检查的是  /var/spool/cron
    • 定时任务不规范的路径还有一个 /etc/crontab

6、查看/etc/crontab文件,发现可疑定时任务

# tail /etc/crontab

*/3 * * * * root /etc/cron.hourly/gcc.sh

7、看到定时任务我就放心了,终于找到问题所在了

cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

  发现是一个叫libudev.so.6的病毒,我做了如下处理

8、杀毒

#删除定时任务,给crontab加锁

rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

#删除找到的启动脚本

find /etc -name 'fknnknlajk'

/etc/rc.d/init.d/fknnknlajk

find /etc -name 'fknnknlajk'  | xargs rm -f

#找到可能的病毒文件,并删除

find /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin -mtime -3

  以为已经杀了毒了,但是删完一查,病毒文件有出来了,在cron.hourly/下产生了其他的病毒文件

# ls

0anacron  dcyeuoisnrumrj.sh

# tail -f dcyeuoisnrumrj.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

cp "/bin/dcyeuoisnrumrj" "/bin/mlucxcxfda"

"/bin/mlucxcxfda"

  才发现并没有那么简单。

9、反查

  • 病毒母文件已经删除
  • 定时任务已经清理
  • 感染的文件/etc/init.d,/bin,/usr/bin 已经清理干净了

  然后下意识用ps查了下进程发现没有异常进程了,top看了下负载,哦? 出现了可疑进程,怀疑是没有停掉的进程新创建了新文件

#停止病毒进程,确认病毒PID

kill -STOP 16452

#查找启动脚本,删除文件(发现病毒的启动文件为S90/K90)

find /etc -name '*90*' | xargs rm -f

#删除病毒文件

rm -rf /etc/cron.hourly/itfitufnyqsvg.sh

#删除病毒文件

find /bin -mtime -1 | xargs rm -f

#杀掉进程

pkill 16452

10、总结

  1、首先肯定是root密码过弱,因为是用来测试的,就没注意。

  2、处理的过程中还是有一些思路不是特别清晰,还需要梳理

Linux服务器中毒事件(libudev.so)的更多相关文章

  1. Linux服务器应急事件溯源报告

    Linux服务器应急事件溯源报告 小博博 · 2016/02/18 17:43 Author:Inn0team 0x00 目录 关于目标环境的中间进度检测报告 一:情况概述 二:取证情况 2.1 目标 ...

  2. linux服务器中毒可疑进程sfewfesfs CPU80%

    我用的是wdlinux, 难免会有漏洞,不知怎么就被莫名其妙地给入侵了,而且还频繁发包.下面是我查看攻击机器的整个过程. 首先跟客户要了root密码登录看,第一个命令是就top cd /proc/25 ...

  3. (分享)Linux服务器如何防止中木马

    大家的windows机器可能经常装一些杀毒软件或者什么的来防止中毒,然而在Linux上我们应该怎么防止这些呢? 在面试过程中我们也经常遇到该类问题,那么我们应该怎么回答才显得既有逻辑又有深度呢? 首先 ...

  4. 记一次Linux服务器上查杀木马经历

    开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

  5. Linux服务器的那些性能参数指标

    Linux服务器的那些性能参数指标 一个基于Linux操作系统的服务器运行的同时,也会表征出各种各样参数信息.通常来说运维人员.系统管理员会对这些数据会极为敏感,但是这些参数对于开发者来说也十分重要, ...

  6. 高性能Linux服务器 第11章 构建高可用的LVS负载均衡集群

    高性能Linux服务器 第11章 构建高可用的LVS负载均衡集群 libnet软件包<-依赖-heartbeat(包含ldirectord插件(需要perl-MailTools的rpm包)) l ...

  7. 线上Linux服务器运维安全策略经验分享

    线上Linux服务器运维安全策略经验分享 https://mp.weixin.qq.com/s?__biz=MjM5NTU2MTQwNA==&mid=402022683&idx=1&a ...

  8. jboss漏洞导致服务器中毒

    中毒现象 1. 网络出现拥塞,访问延迟增加. 2. 系统定时任务表中出现异常的定时任务. 3. 出现异常进程. 4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件.     现象 ...

  9. Linux服务器集群技术的概述

    目前,越来越多的网站采用Linux操作系统,提供邮件.Web.文件存储.数据库等服务.也有非常多的公司在企业内部网中利用Linux服务器提供这些服务.随着人们对Linux服务器依赖的加深,对其可靠性. ...

随机推荐

  1. 阅读MDN文档之布局(四)

    Introducing positioning Static positioning Relative positioning Introducing top, bottom, left and ri ...

  2. Android Studio Gradle编译时『No resource found that matches the given name』解决方法(windows系统的坑)

    * 最近帮团队同事配置gradle时,发现一个非常奇怪的问题:> * 同样的gradle配置的项目,只是修改了一个项目的名称,竟然会出现以下奇怪问题: ## 现象1. 一个编译完全OK,另外一个 ...

  3. React切换显示和隐藏

    1 {radioChange >= 0 && 2 <div> 3 {radioChange === 0 ? ( 4 <div className={style. ...

  4. 基于Python的接口自动化-01

    为什么要做接口测试 当前互联网产品迭代速度越来越快,由之前的2-3个月到个把月,再到班车制,甚至更短,每次发版之前都需要对所有功能进行回归测试,在人力资源有限的情况下,做自动化测试很有必要.由于UI更 ...

  5. 9.0 toast定位+WebDriverWait显示等待

    Toast  判断-----基本操作问题 首先基本操作,进入安卓市场的账号密码页面--- from appium import webdriver from selenium.webdriver.su ...

  6. zabbix 语音告警

    之前的文章中已经实现了zabbix 邮件告警和微信告警,生产环境上测试出消息抵达很及时,但是!万一服务器在大半夜突发故障微信.邮件这些通知都是废物了,大晚上还能听到微信通知吗?显然不可能(我的某朋友就 ...

  7. ThinkPHP5 Model分层及多对多关联的建立

    笔者最近入手ThinkPHP5,准备用它来实现一个学生作业管理系统.简单的说就是学生在上面交老师布置的课程作业,老师也可以发布修改作业.过程中势必会碰到学生.班级和老师之间的关系.它们之间的关系是多对 ...

  8. BZOJ 1010 HNOI2008 玩具装箱 斜率优化

    题目链接: http://www.lydsy.com/JudgeOnline/problem.php?id=1010 Description P教授要去看奥运,但是他舍不下他的玩具,于是他决定把所有的 ...

  9. multi-tap

    multi-tap又称 multi-press . 是在手机,或者电视遥控上的keypad定义,有如下2类标准: 1. ITU-T E.161 2.T9 使用举例如下: Consider a typi ...

  10. Spring Boot学习(一):入门篇

    目录 Spring Boot简介 Spring Boot快速搭建 1 新建项目 2 运行项目 3 设置spring boot可以热部署(修改后端代码后,自动部署,不用手动部署) 3.1:配置pom.x ...