免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 CentOS中毒了
12下一页
最近访问板块 发新帖
查看: 18205 | 回复: 15
打印 上一主题 下一主题

[系统安全] CentOS中毒了 [复制链接]

wienne

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2014-08-16 17:49 |只看该作者 |倒序浏览
本帖最后由 wienne 于 2014-08-16 17:50 编辑

真是不敢相信。

CentOS release 5.3 (Final)

这台服务器在内网,做监控平台使用。
没有外网IP,但可连外网,前几天发现在其他流量达到300M左右,把网络拖得卡死。

因应用软件原因必须要禁用SELinux、root密码也是较容易破解的 passwd、openssl还是2008年的版本。

所以只有升级openssl和openssh到最新版本、修改ssh端口、修改root密码为复杂字串、禁止root登录

然后,

然后在这里问问大家,中毒的文件怎么处理?

找源盘文件覆盖?这些文件在哪个rpm包里啊?
找杀毒软件修复?我估计这项不大可能。

听听大家的意见







使用clamav查出以下文件
  1. /lib/lib3.so.1: Unix.Trojan.Elknot FOUND
  2. Scanning /var/www/error/HTTP_NOT_FOUND.html.var
  3. /var/opt/lm/iisdate: Unix.Trojan.Elknot FOUND
  4. /usr/sbin/lsof: Unix.Trojan.Elknot FOUND
  5. /usr/bin/bsd-port/getty: Unix.Trojan.Elknot FOUND
  6. /usr/bin/.sshd: Unix.Trojan.Elknot FOUND
  7. /bin/ps: Unix.Trojan.Elknot FOUND
  8. /bin/netstat: Unix.Trojan.Elknot FOUND
  9. /bin/.iptab4: Unix.Trojan.Elknot FOUND
复制代码
通过md5计算文件的特征,看来它们都一样了

  2. c0d54e07e3ec9dacc17926edad984470  /lib/lib3.so.1
  3. c0d54e07e3ec9dacc17926edad984470  /var/opt/lm/iisdate
  4. c0d54e07e3ec9dacc17926edad984470  /usr/sbin/lsof
  5. c0d54e07e3ec9dacc17926edad984470  /usr/bin/bsd-port/getty
  6. c0d54e07e3ec9dacc17926edad984470  /usr/bin/.sshd
  7. c0d54e07e3ec9dacc17926edad984470  /bin/ps
  8. c0d54e07e3ec9dacc17926edad984470  /bin/netstat
  9. c0d54e07e3ec9dacc17926edad984470  /bin/.iptab4
复制代码
再找网站看看其他杀毒软件怎么说
  1. VirSCAN.org Scanned Report :
  2. Scanned time   : 2014-08-16 15:11:54
  3. Scanner results: 25%的杀软(10/39)报告发现病毒
  4. File Name      : ps
  5. File Size      : 1135000 byte
  6. File Type      : application/x-executable
  7. MD5            : c0d54e07e3ec9dacc17926edad984470
  8. SHA1           : 743d06a24d40e1a166449dc433729250615bc2ce
  9. Online report  : http://r.virscan.org/report/485e4058cf246c7d120da2096e8a4bb9

  11. Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
  12. ANTIVIR        1.9.2.0        1.9.159.0         7.11.167.130   32   没有发现病毒            
  13. AVAST!         140815-0       4.7.4             2014-08-15     29   ELF:Elknot-J [Trj]            
  14. AVG            2109/7541      10.0.1405         2014-08-15     1    没有发现病毒            
  15. ArcaVir        1.0            2011              2014-05-30     9    没有发现病毒            
  16. Authentium     4.6.5          5.3.14            2013-12-01     1    没有发现病毒            
  17. Baidu Antivirus2.0.1.0        4.1.3.52192       2.0.1.0        4    没有发现病毒            
  18. Bitdefender    7.56384        7.90123           2014-08-15     8    没有发现病毒            
  19. ClamAV         19281          0.97.5            2014-08-15     1    没有发现病毒            
  20. Comodo         15023          5.1               2014-08-15     3    没有发现病毒            
  21. Dr.Web         5.0.2.3300     5.0.1.1           2014-08-10     28   Linux.BackDoor.Gates.6        
  22. F-PROT         4.6.2.117      6.5.1.5418        2014-08-15     2    没有发现病毒            
  23. F-Secure       2014-04-02-01  9.13              2014-04-02     14   没有发现病毒            
  24. Fortinet       22.652, 22.652 5.1.153           2014-08-15     1    ELF/GATES.BA!tr.bdr           
  25. GData          24.3637        24.3637           2014-08-16     10   ELF:Elknot-AE                 
  26. IKARUS         1.06.01        V1.32.31.0        2014-08-15     20   没有发现病毒            
  27. NOD32          9809           3.0.21            2014-05-16     1    Linux/Agent.I.Gen trojan      
  28. QQ手机       1.0.0.0        1.0.0.0           2014-08-16     2    没有发现病毒            
  29. Quickheal      14.00          14.00             2014-08-13     3    Linux.Ganiw.a50a              
  30. SOPHOS         5.04           3.51.0            2014-08-05     15   Linux/DDoS-BD                 
  31. Sunbelt        3.9.2595.2     3.9.2595.2        2014-08-14     2    没有发现病毒            
  32. TheHacker      6.8.0.5        6.8.0.5           2014-08-13     1    没有发现病毒            
  33. Vba32          3.12.26.3      3.12.26.3         2014-08-14     3    没有发现病毒            
  34. ViRobot        2.73           2.73              2014-08-14     1    没有发现病毒            
  35. VirusBuster    15.0.878.0     5.5.2.13          2014-08-15     13   没有发现病毒            
  36. a-squared      9.0.0.4157     9.0.0.4157        2014-07-03     3    没有发现病毒            
  37. nProtect       9.9.9          9.9.9             2013-12-27     3    没有发现病毒            
  38. 卡巴斯基   5.5.33         5.5.33            2014-04-01     22   没有发现病毒            
  39. 奇虎360      1.0.1          1.0.1             1.0.1          13   没有发现病毒            
  40. 安博士V3    9.9.9          9.9.9             2013-05-28     5    没有发现病毒            
  41. 安天         054617         AVL140814         2014-08-15     5    没有发现病毒            
  42. 江民杀毒   16.0.100       1.0.0.0           2014-08-13     45   Backdoor/Linux.kg            
  43. 熊猫卫士   9.05.01        9.05.01           2014-08-15     6    没有发现病毒            
  44. 瑞星         25.27.01.04    25.27.01.04       2014-08-12     1    没有发现病毒            
  45. 百度杀毒   1.0            1.0               2014-04-02     1    Backdoor.Linux.Ganiw.a        
  46. 费尔         17.47.17308    1.0.2.2108        2014-08-15     6    没有发现病毒            
  47. 赛门铁克   20140814.002   1.3.0.24          2014-08-14     1    Trojan.Chikdos.B!gen2         
  48. 趋势科技   10.986.05      9.500-1005        2014-08-15     4    没有发现病毒            
  49. 迈克菲      7520           5400.1158         2014-08-04     9    没有发现病毒            
  50. 金山毒霸   2.1            2.1               2013-09-22     4    没有发现病毒            
复制代码
action08

论坛徽章:
223
2022北京冬奥会纪念版徽章 日期:2015-08-10 16:30:32操作系统版块每日发帖之星 日期:2016-05-10 19:22:58操作系统版块每日发帖之星 日期:2016-02-18 06:20:00操作系统版块每日发帖之星 日期:2016-03-01 06:20:00操作系统版块每日发帖之星 日期:2016-03-02 06:20:0015-16赛季CBA联赛之上海 日期:2019-09-20 12:29:3219周年集字徽章-周 日期:2019-10-01 20:47:4815-16赛季CBA联赛之八一 日期:2020-10-23 18:30:5320周年集字徽章-20 日期:2020-10-28 14:14:2615-16赛季CBA联赛之广夏 日期:2023-02-25 16:26:26CU十四周年纪念徽章 日期:2023-04-13 12:23:10操作系统版块每日发帖之星 日期:2016-05-10 19:22:58
2 [报告]
发表于 2014-08-16 17:54 |只看该作者
威武,竟然中毒了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
pxczy

论坛徽章:
0
3 [报告]
发表于 2014-08-16 19:41 来自手机 |只看该作者
是中毒?还是入侵了?是什么文件?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
pxczy

论坛徽章:
0
4 [报告]
发表于 2014-08-16 19:42 来自手机 |只看该作者
你这个应该是直接弱口令登陆的
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
5 [报告]
发表于 2014-08-16 21:27 |只看该作者
新手原地也有一个,好像和楼主的情况一样
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
wienne

论坛徽章:
0
6 [报告]
发表于 2014-08-17 23:21 |只看该作者
大概猜到了

此服务器两年来很稳定,除了我没其他人员会接触。

上周客户的OA应用出了问题,厂家人员到现场来处理过。具体做了哪些操作,不清楚。
前些天客户发现只要把OA应用的数据库服务器网线拨掉,网络就会好。

中毒的时间与外面人员来的时间相吻合。
看来病毒源是从windows平台来的,只有可能是通过弱口令进入的系统
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zzpiggy

论坛徽章:
0
7 [报告]
发表于 2014-08-18 08:39 |只看该作者
找那个外边来的人,打他一顿,记得多带几个帮手,说不定他很能打
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
wienne

论坛徽章:
0
8 [报告]
发表于 2014-08-18 14:13 |只看该作者
/lib/lib3.so.1            delete file
/var/opt/lm/iisdate       delete上级目录
/usr/sbin/lsof            ok,reinstall
/usr/bin/bsd-port/getty   delete上级目录
/usr/bin/.sshd            delete .sshd*
/bin/ps                   ok,reinstall
/bin/netstat              ok,reinstall
/bin/.iptab4              delete file

强制重新安装以下软件包,覆盖被感染文件

net-tools-1.60-78.el5.i386.rpm
procps-3.2.7-11.1.el5.i386.rpm
lsof-4.78-3.i386.rpm

升级openssl(openssl-1.0.1i)和openssh(openssh-6.6p1)到最新版本、
修改sshd端口、修改root密码为复杂字串、禁止root账号直接登录系统

通过网络交换机配置ACL禁止此服务器访问外网

以上修改完成后,重新启动系统
再次全系统扫描未发现病毒

实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
9 [报告]
发表于 2014-08-18 14:37 |只看该作者
病毒会从windows感染Linux?不会吧.会不会是OA系统带来的?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
wienne

论坛徽章:
0
10 [报告]
发表于 2014-08-18 21:18 |只看该作者
此服务器是运行监控系统相关应用,与OA无关联。

应该是oa服务器中毒,通过网络扫描,发现并猜中密码,SSH或telnet远程登录感染。

最大的安全隐患来自内网,说得真不错。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP