linux 病毒 sfewfesfs_VMware, Unix及操作系统讨论区_Weblogic技术|Tuxedo技术|中间件技术|Oracle论坛|JAVA论坛|Linux/Unix技术|hadoop论坛_联动北方技术论坛  
网站首页 | 关于我们 | 服务中心 | 经验交流 | 公司荣誉 | 成功案例 | 合作伙伴 | 联系我们 |
联动北方-国内领先的云技术服务提供商
»  游客             当前位置:  论坛首页 »  自由讨论区 »  VMware, Unix及操作系统讨论区 »
总帖数
7
每页帖数
101/1页1
返回列表
0
发起投票  发起投票 发新帖子
查看: 4034 | 回复: 6   主题: linux 病毒 sfewfesfs        上一篇   下一篇 
Gavin
注册用户
等级:少校
经验:878
发帖:130
精华:1
注册:2011-7-21
状态:离线
发送短消息息给Gavin 加好友    发送短消息息给Gavin 发消息
发表于: IP:您无权察看 2015-12-3 15:33:22 | [全部帖] [楼主帖] 楼主

由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs 

cpu 300%,路由器被网络阻塞啦。于是百度这个病毒:都说该病毒很变态,第一次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒)


1、病毒现象


服务器不停向外网发送数据包,占网络带宽,甚至导致路由器频繁重启。

(1) 通过top 或者ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名

字的文件,重启后一插网线立即开始执行

(2)通过sar -n DEV 就可以看到往外发包的情况。

(3)netstat -natlp 可以看到使用哪些端口


2、分析可能原因


曾一度怀疑是安装u盘的问题,安装盘是u盘制作的系统安装引导盘,装入系统之前是格式化了。看了网上的资料,应该不是,U盘的问题。

应该开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。这个服务器又可以通过路由器代理进来,并且登陆密码也不是那么复杂。可能被黑了。

22端口的root权限还是不要开了,no zuo no die,头一次经历linux中毒曾一度以为是很安全的操作系统。


3、解决办法


1)先看看被攻击者修改过的:/etc/rc.local文件:

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

这是修改过的内容。这里可以看到,他启动一系列的进程,并且最后还把防火墙给你关掉了。那现在好办了,先找到以上对应的所有文件全部删除。


2)删除病毒文件sfewfesfs

进到/etc/ 下面找到与进程对应的文件名 删掉。

sudo chattr -i /etc/sfewfesfs*  
sudo rm -rf /etc/sfewfesfs*


3) 删除.SSH2和.SSHH2

这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,

全部删掉。用ls -al看到.SSH2隐藏文件,删除

rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;

/etc和/tmp可能有.sshdd1401029348隐藏文件 用ls -al看到,删除

sudo rm -rf /tmp/.sshdd140*


4)删除计划任务:

到/var/spool/cron/下面把root 和root.1删掉。

sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1

这个时候,病毒程序基本清楚完整了。


5)22端口的root权限还是不要开了

修改外网映射22端口到XXXX
修改root密码

passwd

关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no


6)重启服务器





                                                                                                                          --转自



赞(0)    操作        顶端 
k3neeb
注册用户
等级:上尉
经验:799
发帖:15
精华:0
注册:2015-5-28
状态:离线
发送短消息息给k3neeb 加好友    发送短消息息给k3neeb 发消息
发表于: IP:您无权察看 2016-3-16 16:10:57 | [全部帖] [楼主帖] 2  楼

尼玛,终于知道LINUX原来也是如此容易中毒。

进入服务器,发现机子不停往外发包,带宽占满(5分钟能发10G)。cpu占用100%,top下能看到名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)以及.sshhddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。


用netstat -atunlp 查看网络情况,悲剧的一米


先开始杀毒吧

 

 

删除病毒文件
chattr -i /etc/sfewfesfs*
rm -rf /etc/sfewfesfs*
看到名为nhgbhhj等的可疑文件一并删除


rm -rf /etc/nhgbhhj
rm -rf /etc/nhgbhhj***
删除计划任务(非常重要),病毒靠这个复活!


rm -rf ar/spool/cron/root
rm -rf ar/spool/cron/root.1


用ls -al /etc看到.SSH2(还有可能是.SSHH2)隐藏文件,删除
rm -rf /etc/.SSH2

rm -rf /etc/.SSHH2


用ls -al /tmp看到.sshdd14XXXXXXXX(一串随机数字)或.sshhdd14XXXXXXXX(一串随机数字)隐藏文件,删除
rm -rf /tmp/.sshdd14*

rm -rf /tmp/.sshhdd14*
重启服务器,搞定。



赞(0)    操作        顶端 
twany
注册用户
等级:少校
经验:1408
发帖:17
精华:0
注册:2015-6-2
状态:离线
发送短消息息给twany 加好友    发送短消息息给twany 发消息
发表于: IP:您无权察看 2016-3-17 9:07:38 | [全部帖] [楼主帖] 3  楼

很好的分享,学习了



赞(0)    操作        顶端 
k3neeb
注册用户
等级:上尉
经验:799
发帖:15
精华:0
注册:2015-5-28
状态:离线
发送短消息息给k3neeb 加好友    发送短消息息给k3neeb 发消息
发表于: IP:您无权察看 2016-4-25 11:57:28 | [全部帖] [楼主帖] 4  楼

在网上查询了一下,各种教程都不是那么的全。该病毒又很变态。
在这里他的相关机制就不研究了。关键看如何删除:::
先看看被攻击者修改过的:/etc/rc.local文件。
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd  /root/
./youta&
./youni&
/etc/init.d/iptables stop
这是修改过的内容。
这里可以看到,他启动一系列的进程,并且最后还把放火墙给你关掉了。
那现在好办了。先找到以上对应的所有文件全部删除。
这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。
这个时候,病毒程序基本清楚完整了,但是,防火墙还是会被关闭。那你得看定时任务的问题了。
最后记得清除被修改过的/etc/rc.local文件。


第一次中linux病毒。感觉还是挺爽的。
系统:centos
症状:不停的向外网发送数据包,导致路由器频繁重启。查看进程可以看到多出的很多进程。用netstat -atnpl一看有很多活动的连接。
原因分析:由于开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。并且登陆密码也不是那么复杂。可能被黑了。
linux安全一定不容小觑。



赞(0)    操作        顶端 
twany
注册用户
等级:少校
经验:1408
发帖:17
精华:0
注册:2015-6-2
状态:离线
发送短消息息给twany 加好友    发送短消息息给twany 发消息
发表于: IP:您无权察看 2016-5-13 9:53:12 | [全部帖] [楼主帖] 5  楼

牛牛牛



赞(0)    操作        顶端 
ettu
注册用户
等级:上尉
经验:787
发帖:0
精华:0
注册:2016-2-22
状态:离线
发送短消息息给ettu 加好友    发送短消息息给ettu 发消息
发表于: IP:您无权察看 2016-5-13 11:38:17 | [全部帖] [楼主帖] 6  楼

学习,积累经验!



赞(0)    操作        顶端 
伊恩dih
注册用户
等级:少校
经验:819
发帖:15
精华:0
注册:2015-5-28
状态:离线
发送短消息息给伊恩dih 加好友    发送短消息息给伊恩dih 发消息
发表于: IP:您无权察看 2016-5-13 18:02:12 | [全部帖] [楼主帖] 7  楼

学习了,谢谢楼主!



赞(0)    操作        顶端 
总帖数
7
每页帖数
101/1页1
返回列表
发新帖子
请输入验证码: 点击刷新验证码
您需要登录后才可以回帖 登录 | 注册
技术讨论