|
|
家里的服务器,安装debian7-64的小电脑(淘宝上买的,好像的工控机吧),装不了nt5,装nt6需要显示器,否则不让开机,后来我买了个3个75欧的电阻,可以模拟显示器,但想想还是试装了debian,很好,再装kvm,开2k3小鸡用,中病毒了。病毒样本udev.7z,是我保存下来的。
弄了好几天,手撕了。
症状:无故地连镇江电信、深圳电信、福建电信几个IP的2897端口,好像还没在我的电脑上做别的坏事,估计是是流量肉鸡。
iptables -A OUTPUT -p tcp --dport 2897 -j DROP,关闭外连2897端口。
iptables-save ,重启后,规则保存不了。以为是病毒干的好事,其实这个是debian系统没保存,上网查查,需要
iptables-restore之,加载在if-pre-up/目录里,看官自己去查吧。
会在/boot目录下生成wieruqweiru等随机文件名可执行文件,马上删掉自己,再次生成。
然后会添加runlevel 2,3,4,5服务程序。这个服务每次启动后是固定的,比如说是ieruwiruewir
用pstree查看,可以看到这个进程,生成的服务也是这个名字如S01ieruwiruewir
这个删掉也没用,pkill ieruwiruewir,马上生成新的服务。
使用find / -name *ieruwiruewir* |xargs rm,删除后,重启,包括直接拔电源,又会再生成新的服务,启动进程。
今天无意中乱敲一个命令,strings,delphi中,是字符串列表,网上查之,是方便查看文件字符串功能。
遂查看上面的那个服务,发现有/etc/cron.hourly/这个串,找到一个cron.sh,里面拷贝udev,并运行,在另外的虚拟机,并没发现有这个udev文件,原来这才是病毒源,杀之,干净了。弄了好几天,唉。
找杀毒软件,clamav,更新病毒库,也杀不了这个。倒是给我杀了两个木马 getty.001,ss.
linux不熟悉,表述不当,看官见笑。如果是windows,做个钩子,很容易查的。顺便请问下,linux下有没有管理进程创建的工具,或者是iptables一样管理进程的工具呢?
病毒样本上传不上来,大家查查自己的机子有没有外连2897端口。netstat -ntup
|
|
发表于 2016-11-3 01:13:55
