解决linux病毒导致带宽跑满的解决过程 ,可以参考参考

案例描述

早上接到IDC的电话,说我们的一个网段IP不停的向外发包,应该是被攻击了,具体哪个IP不知道,让我们检查一下。

按理分析及解决办法

首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面。

我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量。

这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,查看系统日志,也没有看到什么异常,但是系统的登录日志被清除了,

我赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。

这是个什么进程呢,我每次ps -ef都不一样,一直在变动,进程号一一直在变动中,我想看看进程打开了什么文件都行,一时无从下手,想到这里,我突然意识到这应该都是一些子进程,由一个主进程进行管理,所以看这些子进程是没有用的,即便我杀掉他们还会有新的生成,擒贼先擒王,我们去找一下主进程,我用top d1实时查看进程使用资源的情况,看看是不是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是我们寻找的木马主进程。

我尝试杀掉这个进程,killall -9 ueksinzina,可是杀掉之后ps -ef查看还是有那些子进程,难道没有杀掉?再次top d1查看,发现有出现了一个其他的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是木马了。

我们看看他到底是什么,”which obgqtvdunq”发现这个命令在/usr/bin下面,多次杀死之后又重新在/usr/bin目录下面生成,想到应该有什么程序在监听这个进程的状态也可能有什么定时任务,发现进程死掉在重新执行,我就按照目前的思路查看了一下/etc/crontab定时任务以及/etc/init.d启动脚本,均发现有问题。

可以看到里面有个定时任务gcc4.sh,这个不是我们设定的,查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,我们这边把有关的配置全部删掉,并且删掉/lib/libudev4.so。

在/etc/init.d/目录下面也发现了这个文件。

里面的内容是开机启动的信息,这个我们也给删掉。

以上两个是一个在开机启动的时候启动木马,一个是木马程序死掉之后启动木马,但是目前我们杀掉木马的时候木马并没有死掉,而是立刻更换名字切换成另一个程序文件运行,所以我们直接杀死是没有任何用处的,我们目的就是要阻止新的程序文件生成,首先我们取消程序的执行权限并把程序文件成成的目录/usr/bin目录锁定。

chmod 000 /usr/bin/obgqtvdunq
chattr +i /usr/bin

然后我们杀掉进程”killall -9 obgqtvdunq”,然后我们在查看/etc/init.d/目录,看到他又生成了新的进程,并且目录变化到了/bin目录下面,和上面一样,取消执行权限并把/bin目录锁定,不让他在这里生成,杀掉然后查看他又生成了新的文件,这次他没有在环境变量目录里面,在/tmp里面,我们把/tmp目录也锁定,然后结束掉进程。

到此为止,没有新的木马进程生成,原理上说是结束掉了木马程序,后面的工作就是要清楚这些目录产生的文件,经过我寻找,首先清除/etc/init.d目录下面产生的木马启动脚本,然后清楚/etc/rc#.d/目录下面的连接文件。

后来我查看/etc目录下面文件的修改时间,发现ssh目录下面也有一个新生成的文件,不知道是不是有问题的。

清理差不多之后我们就要清理刚才生成的几个文件了,一个一个目录清楚,比如”chattr -i /tmp”,然后删除木马文件,以此类推删除/bin、/usr/bin目录下面的木马,到此木马清理完毕。

快速清理木马流程

假设木马的名字是nshbsjdy,如果top看不到,可以在/etc/init.d目录下面查看

1、首先锁定三个目录,不能让新木马文件产生

chmod 000 /usr/bin/nshbsjdy
chattr +i /usr/bin
chattr +i /bin
chattr +i /tmp
2、删除定时任务及文件以及开机启动文件

删除定时任务及文件
rm -f /etc/init.d/nshbsjdy
rm -f /etc/rc#.d/木马连接文件

3、杀掉木马进程

killall -9 nshbsjdy

4、清理木马进程

chattr -i /usr/bin
rm -f /usr/bin/nshbsjdy

处理完成之后再一次检查一下以上各目录,尤其是/etc目录下面最新修改的文件。

5、如果是rootkit木马,可以用下面的软件进行检查

软件chkrootkit:

软件RKHunter:

安装都非常简单,我使用RKHunter简单检查了一下,没有发现什么重大问题,但是这也并不表示没有什么问题,因为我们的检测命令也是依赖一些系统的命令,如果系统的命令被感染那是检测不出来的,最好是系统的命令备份一份检查,再不行就备份数据重装喽。

时间: 2024-10-14 20:56:53

解决linux病毒导致带宽跑满的解决过程 ,可以参考参考的相关文章

真实记录linux病毒导致带宽跑满的解决过程

案例描述 早上接到IDC的电话,说我们的一个网段IP不停的向外发包,应该是被攻击了,具体哪个IP不知道,让我们检查一下. 按理分析及解决办法 首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面. 我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量. 这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没

Linux服务器丢包故障的解决思路及引申的TCP/IP协议栈理论

我们使用Linux作为服务器操作系统时,为了达到高并发处理能力,充分利用机器性能,经常会进行一些内核参数的调整优化,但不合理的调整常常也会引起意想不到的其他问题,本文就一次Linux服务器丢包故障的处理过程,结合Linux内核参数说明和TCP/IP协议栈相关的理论,介绍一些常见的丢包故障定位方法和解决思路. 问题现象 本次故障的反馈现象是:从办公网访问公网服务器不稳定,服务器某些端口访问经常超时,但Ping测试显示客户端与服务器的链路始终是稳定低延迟的. 通过在服务器端抓包,发现还有几个特点:

中兴U960E修改系统文件导致无法开机的解决办法

中兴的手机开启飞行模式时不能开启wifi,用惯了三星手机之后真的不习惯这一点.昨晚躺着床上终于忍受不了,照着网上的教程修改了一下.教程复制如下:------------------------------------------------------------------------------------------------------[转]中兴的手机开启飞行模式时无法开启WIFI.蓝牙很蛋疼!我喜欢开飞行,但却还会用手机开WIFI上会网.玩游戏1.手机安装RE管理器:2.手机安装SQ

解决Linux下Tomcat日志目录下的catalina.log日志文件过大的问题

本文摘自:(http://blog.csdn.net/stevencn76/article/details/6246162) 分类: Java技术专区2011-03-13 12:25 5017人阅读 评论(1) 收藏 举报 tomcatlinux工具任务web 由于Tomcat在默认情况下会将没有经过配置的web应用所产生的日志输出已经其本身的日志内容都输出到这个文件中,那么随着时间的推移,这个文件的尺寸将会越来越大,当需要检查日志内容时间会导致文件难以打开,而且同时tomcat依旧在不断的向文

转载:解决linux ping: unknown host www.baidu.com

解决linux ping: unknown host www.baidu.com 转载网址:http://www.kankanews.com/ICkengine/archives/48417.shtml 解决方案: 如果某台Linux服务器ping不通域名, 如下提示: [root@localhost ~]# ping www.baidu.com ping: unknown host www.baidu.com 首先确定已经连接上路由器,并且路由器能够访问外网,可以通过访问网关进行确定 [roo

强力删除Avast后导致系统不断重启解决办法

我使用的是XP系统,Avast版本是7.0.由于avast7.0无法更新病毒库和软件,所以想卸载掉再重装. 问题来了!Avast无法直接卸载!用控制面板的卸载工具和360卸载功能都无法卸载,提示"setup.ovr-应用程序错误".下载新版安装包之后,也无法覆盖,同样提示应用程序错误.最后怒了,用360强力卸载将Avast文件夹直接强力删除了. 重启电脑后,电脑无法进入系统.启动过程中能够看到进度条,然后又重启,反复.尝试进入"安全模式",成功.网上搜索,下载了36

2015年4月8日主从不同步故障解决(字符集导致)

1.现状 :服务器A 从库: 服务器B 主库: 关系:主从同步 2.现添加一台服务器C为主库,同步服务器A--->同步服务器B 操作1.停止 /etc/init.d/xa-anaxxx-tomcat  stop   主从同步分析停止 : 2.停止 /etc/init.d/xa-colxxx-tomcat  stop   数据插入主库停止: 3.MQ查看正常: 4.停止服务器B 同步 stop slave : 5.确认server-id 值是唯一: 6.在服务器C创建A同步账号: #注意:创建的账

快速解决linux上oracle安装乱码问题

问题:在linux上安装oracle时,由于oracle用户的local LANG设置问题,导致安装oracle软件时,安装界面上很多地方显示为乱码. 解决办法:在oracle用户下执行:export LC_ALL=en_US 再次安装oracle,所有窗口按钮就都可以显示为英文了. 快速解决linux上oracle安装乱码问题

解决linux ping: unknown host www.baidu.com(转)

解决方案:    如果某台Linux服务器ping不通域名, 如下提示: [root@localhost ~]# ping www.baidu.comping: unknown host www.baidu.com 首先确定已经连接上路由器,并且路由器能够访问外网,可以通过访问网关进行确定 [root@localhost ~]# ping 8.8.8.8PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.64 bytes from 192.16