论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-07-03 15:46 |只看该作者 |倒序浏览

本帖最后由 ibpoqdi 于 2014-07-03 15:49 编辑

环境
centos 6.5，开放22端口root权限，密码长度8位字母加数字全小写无规律
-------------------------------------------------------------------------------------
现象
服务器不停往外发包，带宽占满（5分钟能发10G）。能看到名为sfewfesfs的进程还有.sshddXXXXXXXXXXX（一串随机数字）的进程。/etc/下能看到名为sfewfesfs，nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行。
-------------------------------------------------------------------------------------
解决过程

修改外网映射22端口到XXXX

修改root密码
passwd

关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no

查看占用端口
netstat -atunlp
看到sfewfesfs和.sshdd1401029348进程在发包

查看进程位置
ll /proc/进程PID

参考http://blog.chinaunix.net/uid-1819848-id-4288137.html
删除病毒文件
sudo chattr -i /etc/sfewfesfs*
sudo rm -rf /etc/sfewfesfs*

看到名为nhgbhhj的可疑文件一并删除
sudo rm -rf /etc/nhgbhhj

删除计划任务
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1

参考http://www.linuxquestions.org/qu ... malware-4175501872/
用ls -al看到.SSH2隐藏文件，删除
sudo rm -rf /etc/.SSH2

用ls -al看到.sshdd1401029348隐藏文件，删除
sudo rm -rf /tmp/.sshdd140*

重启服务器，搞定。

其他，中招后重装过一次系统但立即又中，曾一度怀疑是安装盘的问题-_-!，22端口的root权限还是不要开了，nozuonodie，头一次经历linux中毒曾一度以为是很安全的操作系统-_-!，中过一次才觉得爽，大意了。
病毒具体作用机制本人能力有限没精力仔细研究了，还得大神们来，据说这个是4月份的新病毒，网上可查资料不多，借此复习了一下linux命令。

评分

参与人数 1	可用积分 +6	收起理由
chenyx	+ 6	赞一个!

查看全部评分

文库|博客

Shell_HAT

版主

论坛徽章:: 33

2楼 [报告]

发表于 2014-07-03 17:13 |只看该作者

感谢分享

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

chenyx

版主

论坛徽章:: 381

3楼 [报告]

发表于 2014-07-03 17:19 |只看该作者

总结的不错,赞一个!

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Kasiotao

丰衣足食

论坛徽章:: 1

4楼 [报告]

发表于 2014-07-04 23:13 |只看该作者

受教了，感谢分享

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yestreenstars

富甲一方

论坛徽章:: 32

5楼 [报告]

发表于 2014-07-05 00:23 |只看该作者

学习了！感谢分享~

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jiemin3581

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2014-08-13 23:51 |只看该作者

谢谢分享，我服务器也中了！由于业务比较着急只好重新做的系统，没有仔细研究这个病毒，我以为是系统安全的问题！谢谢楼主的分享哦

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Chinese_Cloud

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2014-10-16 22:57 |只看该作者

博主我想请教下你是如何通过netstat -anlult 得知sfewfesfs和.sshdd1401029348进程在发包，还有一个问题sfewfesfs的文件我已经删除了但是grep过滤的时候还出现结束掉进程后过一会又起来了！还请博主指点一二！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

little_angel

稍有积蓄

论坛徽章:: 2

8楼 [报告]

发表于 2014-10-17 09:25 |只看该作者

回复 7# Chinese_Cloud

执行：netstat -atunlp 的结果：注意观察$2 $3 分别代表的意思是反馈队列和发送队列

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:3310 0.0.0.0:* LISTEN 1231/clamd

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

冰封三万里

白手起家

论坛徽章:: 0

9楼 [报告]

发表于 2014-10-26 18:11 |只看该作者

楼主你好我前阵子一台nagios服务器也中了这个毒疯狂的向外发包导致了内网直接瘫痪找了半天的问题才发现是nagios服务器出的问题这也怪我当时给这台机器配了个公网IP 在配公网IP之前没有想到改22端口以及密码。。。刚配上公网IP不到十分钟，内网就瘫了。。。哎这几天一直在研究这个病毒请问一下他向外发包的话如何查看他发送的IP地址呢？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

冰封三万里

白手起家

论坛徽章:: 0

10楼 [报告]

发表于 2014-10-26 19:02 |只看该作者

我用netstat -tunlap 查看进程发现了两个奇怪IP 追过去发现是浙江的电信IP 请问这个IP就是发包的接受端么？5分钟10G的流量这个IP受得了么。。。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › 中了sfewfesfs，解决过程

[系统安全] 中了sfewfesfs，解决过程 [复制链接]

评分

浏览过的版块