我运行时有一个未知的过程top:
- 当我终止该进程时,它会以另一个随机名称再次出现。
- 当我检查 rc.d 级别和 init.d 时,发现有很多类似的随机名称,例如这个,这个也在那里。
- 当我尝试 apt-get remove 或其他任何操作时,它又再次出现。
- 当我插入网线时,它会锁定我们的整个网络。
你知道我该如何将其去除吗?
这是什么服务/流程?
这是 exe 文件,当我删除它时,它又再次出现。
/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa
当我检查“netstat -natp”时,有一个已建立的外部地址是 98.126.251.114:2828。当我尝试向 iptables 添加规则时,它不起作用。但在尝试并重新启动后,将此地址更改为 66.102.253.30:2828。
操作系统是 Debian Wheeze
答案1
这被称为 XORDDos Linux 木马,其诀窍是让进程暂停运行,这样它就不会创建新的进程kill。-STOP
`kill -STOP PROCESS_ID`
答案2
我对这个随机10位字符串木马有一些经验,它会发送大量数据包进行SYN洪水攻击。
- 切断你的网络
该木马有来自 的原始文件/lib/libudev.so,它会再次复制和分叉。它还会添加cron.hourly名为 的作业,然后在您的(Debian、CentOS 可能是)gcc.sh中添加初始脚本/etc/rc*.d/etc/rc.d/{init,rc{1,2,3,4,5}}.d
使用
root运行以下脚本来更改文件夹权限:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/删除
/etc/rc{0,1,2,3,4,5,6,S}.d今天创建的所有文件,名称类似于S01????????。编辑你的 crontab,删除
gcc.sh你的脚本/etc/cron.hourly,删除gcc.sh文件(/etc/cron.hourly/gcc.sh),然后为你的 crontab 添加权限:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab使用此命令检查最新的文件更改:
ls -lrt
如果发现任何名为S01xxxxxxxx(或K8xxxxxxxx)的可疑文件,请将其删除。
- 然后您应该在没有网络的情况下重新启动。
然后木马就被清理干净了,你可以将文件夹权限修改为原来的值(chattr -i /lib /etc/crontab)。
答案3
我跟你赌一美元https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/。您的所有症状都与描述的完全一致。
答案4
对我来说有两个选择:
对于正在干扰 /usr/bin 中文件的木马,我只做了以下操作:echo > /lib/libudev.so 杀死木马 PID
对于弄乱 /bin 的人(这里总是有 5-10 个进程在运行,chattr +i /bin 并按照 rainysia 提到的步骤