linux 病毒 sfewfesfs

由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。 于是百度这个病毒:都说该病毒很变态。第一次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒)

1、病毒现象

服务器不停向外网发送数据包,占网络带宽,甚至导致路由器频繁重启。

1) 通过top 或者ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行

2)通过sar -n DEV 就可以看到往外发包的情况。

3)netstat -natlp 可以看到使用哪些端口

2、分析可能原因

曾一度怀疑是安装u盘的问题,安装盘是u盘制作的系统安装引导盘,装入系统之前是格式化了。看了网上的资料,应该不是,U盘的问题。

应该开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。这个服务器又可以通过路由器代理进来,并且登陆密码也不是那么复杂。可能被黑了。

22端口的root权限还是不要开了,no zuo no die,头一次经历linux中毒曾一度以为是很安全的操作系统。

3、解决办法

1)先看看被攻击者修改过的:/etc/rc.local文件:

cd
/tmp;./sfewfesfs

cd /tmp;./gfhjrtfyhuf

cd /tmp;./rewgtf3er4t

cd /tmp;./fdsfsfvff

cd /tmp;./smarvtd

cd /tmp;./whitptabil

cd /tmp;./gdmorpen

cd /etc;./sfewfesfs

cd /etc;./gfhjrtfyhuf

cd /etc;./rewgtf3er4t

cd /etc;./fdsfsfvff

cd /etc;./smarvtd

cd /etc;./whitptabil

cd /etc;./gdmorpen

cd /tmp;./sfewfesfs

cd /tmp;./gfhjrtfyhuf

cd /tmp;./rewgtf3er4t

cd /tmp;./fdsfsfvff

cd /tmp;./smarvtd

cd /tmp;./whitptabil

cd /tmp;./gdmorpen

cd /etc;./sfewfesfs

cd /etc;./gfhjrtfyhuf

cd /etc;./rewgtf3er4t

cd /etc;./fdsfsfvff

cd /etc;./smarvtd

cd /etc;./whitptabil

cd /etc;./gdmorpen

这是修改过的内容。

这里可以看到,他启动一系列的进程,并且最后还把防火墙给你关掉了。

那现在好办了。先找到以上对应的所有文件全部删除。

2)删除病毒文件sfewfesfs

进到/etc/
下面找到与进程对应的文件名 删掉。

sudo chattr -i /etc/sfewfesfs*

sudo rm -rf /etc/sfewfesfs*

3) 删除.SSH2和.SSHH2

这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。

用ls
-al看到.SSH2隐藏文件,删除

rm -rf/etc/ SSH2;

rm -rf/etc/ .SSHH2;

rm -rf/tmp/.SSH*;

/etc和/tmp可能有.sshdd1401029348隐藏文件
用ls -al看到,删除

sudo rm -rf /tmp/.sshdd140*

4)删除计划任务:

到/var/spool/cron/下面把root
和root.1删掉。

sudo
rm -rf /var/spool/cron/root

sudo rm -rf /var/spool/cron/root.1

这个时候,病毒程序基本清楚完整了。

5)22端口的root权限还是不要开了:

修改外网映射22端口到XXXX

修改root密码

passwd

关闭root的22权限

在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成

PermitRootLogin no

5)重启服务器

时间: 2024-10-28 22:47:19

linux 病毒 sfewfesfs的相关文章

Linux 病毒检测

推荐迁出重要文件后重装系统 1 Linux 病毒检测 1.1 查找最近登陆 1.1.1 检查系统错误登陆日志,统计IP重试次数 lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more 1.1.2 查看最近登录的账户和登录时间 last # 查看最近成功登陆的用户: lastlog # 查看每个用户最后一次登陆的时间: 1.1.3 查找远程登录成功的IP: grep -i Accepted /var/log/secure 1.

认识Linux病毒并做好操作系统防护工程

对使用Windows的人来说,病毒无处不在,各种各样的新型病毒层出不穷,近年来,一种类似Unix的操作系统也在发展壮大,开始走进我们的视野,并在各领域内得到应用,它就是Linux系统,对于受病毒困扰的用户来说,Linux会是一块没有病毒的乐土吗? 一.当心Linux病毒 在Linux出现之初,由于其最初的优秀设计,似乎具有先天病毒免疫能力,所以当时有许多人相信不会有针对Linux的病毒出现,但是Linux终于也不能例外.1996年秋,澳大利亚一个叫VLAD的组织用汇编语言编写了据称是Linux系

各个击破Linux病毒 保护Linux系统安全

对使用Windows的人来说,病毒无处不在,各种各样的新型病毒层出不穷,近年来,一种类似Unix的操作系统也在发展壮大,开始走进我们的视野,并在各领域内得到应用,它就是Linux系统,对于受病毒困扰的用户来说,Linux会是一块没有病毒的乐土吗? 一.当心Linux病毒 在Linux出现之初,由于其最初的优秀设计,似乎具有先天病毒免疫能力,所以当时有许多人相信不会有针对Linux的病毒出现,但是 Linux终于也不能例外.1996年秋,澳大利亚一个叫VLAD的组织用汇编语言编写了据称是Linux

与linux 病毒的一次接触

环境说明: 1.linux 版本信息 Linux version 2.6.18-308.el5PAE ([email protected]) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-50)) #1 SMP Fri Jan 27 17:40:09 EST 2012 2.两台服务器安装有双机软件 ,linux版本相同 现象: 用户反映双机软件有问题了,远程连过去奇慢无比,后来他们机房的人员发现这两台服务器异常,拨掉其中一台的网线后,网络恢复正常. 具体检

linux病毒 (LPV)

---------感染技术text 段感染,同会时自我复制---------//=免责声明=此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!!此代码纯粹是为了学习,非法使用与作者无关!!! //在ELF可执行文件内的UNIX病毒感染. //行为: //病毒将自身复制到其具有写入权限的第一个未受感染的可执行文件中, //

linux 病毒virus(text 逆向、PLT\GOT HOOK)

免责声明:源码仅供学习,非法使用与作者无关!!!源码仅供学习,非法使用与作者无关!!!源码仅供学习,非法使用与作者无关!!! 随机感染目录下所有 elf 文件: char *dirs[4] = {"/sbin", "/usr/sbin", "/bin", "/usr/bin" }; virus.c /* * 编译: * gcc -g -O0 -DANTIDEBUG -DINFECT_PLTGOT -fno-stack-prot

记一则Linux病毒的处理

今天某项目经理反馈学校的某台服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程.删除文件也会重复生成,非常痛苦.查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容: 網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率.刪除這些程序,馬上又產生新的程序. 檢查 /etc/crontab 每三分鐘執

真实记录linux病毒导致带宽跑满的解决过程

案例描述 早上接到IDC的电话,说我们的一个网段IP不停的向外发包,应该是被攻击了,具体哪个IP不知道,让我们检查一下. 按理分析及解决办法 首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面. 我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量. 这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没

解决linux病毒导致带宽跑满的解决过程 ,可以参考参考

案例描述 早上接到IDC的电话,说我们的一个网段IP不停的向外发包,应该是被攻击了,具体哪个IP不知道,让我们检查一下. 按理分析及解决办法 首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面. 我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量. 这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没