安全 阿里云木马查杀全纪录

xiaoxiao · March 01, 2017 · Last by xiaoxiao replied at March 02, 2017 · 8368 hits

阿里云上一台主机不幸中招被充当了肉鸡,不想重装,只能去手动查杀病毒,纪录了下相关步骤,供大家查看。

1、首先查看lsattr chattr ps netstat ss lsof ifconfig这些关键命令通过比较大小ls命令查看有没有被替换掉,如果被替换过就从其他系统中拷贝过来覆盖。
2/etc/crontab 文件多了一行
*/3 * * * * /home/kill.sh
*/3 * * * * /home/gcc4.sh
查看里面的内容发现了libudev.so等文件,解决方法
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
3、可疑目录/etc/rc.d/init.d/selinux/etc/rc.d/init.d/DbSecuritySpt,删掉并杀死进程。
cat /etc/rc.d/init.d/selinux
#!/bin/bash
/usr/bin/bsd-port/recei
解决方法
killall recei
rm -rf /usr/bin/bsd-port
cat /etc/rc.d/init.d/DbSecuritySpt
#!/bin/bash
/usr/local/bin/bobsn
解决方法
killall bobsn
rm -rf /usr/bin/bsd-port
4、删除其他可疑目录和关闭进程
rm -rf /usr/bin/dpkgd
rm -rf  /usr/bin/.sshd
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
5、删除木马开机启动
rm /etc/rc.d/rc1.d/S99selinux -rf
rm /etc/rc.d/rc2.d/S99selinux -rf
rm /etc/rc.d/rc3.d/S99selinux -rf
rm /etc/rc.d/rc4.d/S99selinux -rf
rm /etc/rc.d/rc5.d/S99selinux -rf
rm /etc/rc.d/rc1.d/S97DbSecuritySpt -rf
rm /etc/rc.d/rc2.d/S97DbSecuritySpt -rf
rm /etc/rc.d/rc3.d/S97DbSecuritySpt -rf
rm /etc/rc.d/rc4.d/S97DbSecuritySpt -rf
rm /etc/rc.d/rc5.d/S97DbSecuritySpt -rf
6、查看网络连接命令,kill掉可疑的连接
netstat -na|grep ESTABLISHED | awk '{print $5}' |awk -F ':' '{print $1}' | grep -v '127.0.0.1'
ip放到网上批量查询可疑地址

感觉换机器比较好,万一漏掉了呢

重装更快。

只 copy .gitignore 的文件,比如上传目录。检查一下是否干净。

我想知道怎么会中招的?

原因还不清楚,本身对安全这方面意思比较薄弱。

Reply to huacnlee

可以考虑下两位的重装建议,安全最重要。

You need to Sign in before reply, if you don't have an account, please Sign up first.