病毒表现:
网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首。杀死该进程后,会再随机产生一个新的进程。
查找步骤:
一、/proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令,混淆管理员眼光查询线索,核验这一个,可以尝试把who等不常见的命令禁用执行权限,但随后却会发现该命令不停地出现在ps -Af里面:
gnome-terminal
ls -a
route -n
netstat -antop
ifconfig
sh
cd /etc
bash
who
cat resolv.conf
ps -ef
cat resolv.conf
由于大量的流量,先用iptables封住该IP,tcp连接不上后,它会改用udp向外发送,发送不出去后会进入监听状态,端口可以见下面的lsof结果。
二、ps -AfH,显示为以上的命令,但是ppid(父id)为1,则为init,所以这个应该是跟某个服务相关的。
ps -AfH
root 17796 1 0 11:54 ? 00:00:00 route -n
root 18008 1 0 11:55 ? 00:00:00 netstat -antop
root 18011 1 0 11:55 ? 00:00:00 ifconfig
root 18014 1 0 11:55 ? 00:00:00 sh
root 18015 1 0 11:55 ? 00:00:00 cd /etc
root 18016 1 0 11:55 ? 00:00:00 bash
root 18028 1 0 11:55 ? 00:00:00 who
root 18031 1 0 11:55 ? 00:00:00 cat resolv.conf
root 18033 1 0 11:55 ? 00:00:00 ps -ef
用pstree可以看到真实的名字:
|-irqbalance --pid=/var/run/irqbalance.pid
|-jbguikdekd
|-jbguikdekd
|-jbguikdekd
|-jbguikdekd
|-mingetty /dev/tty2
|-mingetty /dev/tty3
|-mingetty /dev/tty4
|-mingetty /dev/tty5
|-mingetty /dev/tty6
lsof 也可以持到具体的信息,同时还可以看到一个到103.240.141.54的tcp连接。
三、在crontab的log里面,总显示执行了一个gcc.sh,经查找,是在/etc/cron.hourly/里面:
# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
从这个地方可以看到病毒本体:/lib/libudev.so,这个文件看起来应该是一个库文件,但是用file查看,这个文件则为一个可执行文件,请注意下面的两个文件,一个为executable(可执行的),另一个则为正常的共享库(shared object):
# file libudev.so
libudev.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
正常的库文件应该为:
# file libutil-2.12.so
libutil-2.12.so: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, not stripped
把这个文件取消可执行权限,但是病毒故障依旧。
四、因为这个病毒不断自我启动,并且父进程号为1,所以应该和init有关,所以查看/etc/init.d,发现里面果然有启动项,删除之。在/etc/rc.d/rc3.d/里面,也有类似的好几个启动项,一并删除。
删除后,发现仍然不能杀死,杀死后马上重建一个新的,用lsof 查看:
# lsof -R | grep "/usr/bin"
top 9512 9478 root txt REG 253,0 63856 421158 /usr/bin/top
fhmlrqtqv 17161 1 root txt REG 253,0 625729 393335 /usr/bin/fhmlrqtqvz
fgqnvqzzc 17226 1 root txt REG 253,0 625740 393427 /usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc 17229 1 root txt REG 253,0 625740 393427 /usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc 17232 1 root txt REG 253,0 625740 393427 /usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc 17233 1 root txt REG 253,0 625740 393427 /usr/bin/fgqnvqzzck (deleted)
fgqnvqzzc 17234 1 root txt REG 253,0 625740 393427 /usr/bin/fgqnvqzzck (deleted)
# lsof -R
fhmlrqtqv 17161 1 root cwd DIR 253,0 4096 2 /
fhmlrqtqv 17161 1 root rtd DIR 253,0 4096 2 /
fhmlrqtqv 17161 1 root txt REG 253,0 625729 393335 /usr/bin/fhmlrqtqvz
fhmlrqtqv 17161 1 root 0u CHR 1,3 0t0 4023 /dev/null
fhmlrqtqv 17161 1 root 1u CHR 1,3 0t0 4023 /dev/null
fhmlrqtqv 17161 1 root 2u CHR 1,3 0t0 4023 /dev/null
fhmlrqtqv 17161 1 root 3u IPv4 50163 0t0 UDP *:57331
ynmsjtlpw 17272 1 root cwd DIR 253,0 4096 2 /
ynmsjtlpw 17272 1 root rtd DIR 253,0 4096 2 /
ynmsjtlpw 17272 1 root txt REG 253,0 625751 393426 /usr/bin/ynmsjtlpwp (deleted)
ynmsjtlpw 17272 1 root 0u CHR 1,3 0t0 4023 /dev/null
ynmsjtlpw 17272 1 root 1u CHR 1,3 0t0 4023 /dev/null
ynmsjtlpw 17272 1 root 2u CHR 1,3 0t0 4023 /dev/null
ynmsjtlpw 17275 1 root cwd DIR 253,0 4096 2 /
ynmsjtlpw 17275 1 root rtd DIR 253,0 4096 2 /
五:再查init.d,发现在runlevel 3下有两个可疑的进程,这两个进程杀死后马上再启动,非常有嫌疑:
/usr/sbin/modem-manager
/usr/sbin/wpa_supplicant
但是经过仔细的追查,却发现是由NetworkManager来启动的,在/var/log/messages里面可以看到相关的记录(话说差点远程把NetworkManager给干掉了!)
六、再战lsof:
再次快速重复查看:# lsof -R | grep "/usr/bin",发现主进程不变,总是产生几个辅进程,并且一直处于dedeted状态,这说明主进程会快速产生几个子进程,然后这些进程之间相互检测,一旦检测到病毒主体被删除或更改,就会再产生一个。
七、解决:
1、先删除掉init系统的启动项目,这样保证init不会主动启动病毒,同时这些监控进程不去检测init中的项目是否被删除,否则又会加大点麻烦;
2、再禁掉crontab里面的东西,保证不自动启动;
3、执行:chmod 000 /usr/bin/xxxxxxx && chattr +i /usr/bin
这个命令是复合命令,先禁止执行,再锁定/usr/bin,这样保证新产生的病毒写不到里面去。
4、杀掉主进程,删除病毒主体。
5、检查无误后,解开/usr/bin,删除掉可能产生的其他病毒体。
总结:
1、/proc里面的东西是可以更改的;
2、lsof还比较忠诚,不直接读取/proc里面的信息,ps看到的就不一定真实,top看到的进程还是正确的。
附:find -o参数就是逻辑运算的or
另附一张网络上的sbtrace