小さなメモIptabLesとIptabLexウイルスのクリーンアッププロセス

昨年、Linuxサーバーがハッキングされ、500万行ものログが記録されました（今では非常に良かったと思います）。最初の2日、私の兄は私に、イントラネットの踏み台として、侵害されるべきサーバーがあり、イントラネット内の他のサーバーからのデータを攻撃することがあるとインフォメーションセンターの先生が言ったと伝えました。だから私は一晩サーバーに行きました。

このサーバーにアクセスしたのは今回が初めてですが、状況がどうなのかわかりませんが、このサーバーがLinuxであることだけを知り（Nimaのどのバージョンが固有かを調べたい）、Webサイトを実行します。

入ったら、どんなディストリビューションがあるか見てみましょう。 UbuntuだけをプレイしていたCentOS 6.5は、多かれ少なかれ慣れていません。わかりました、もうナンセンス。

どのページに行きましょう。下のCd /var /は、Tomcatではなく、wwwやhtdocsのようなディレクトリを見ませんでした。ちょっと探して、確かに。ウェブページのコンテンツは最初に読まれることはないでしょう、そしてそれは首尾よく承認されるべきでした。ただ行ってサーバーを見てください。

この記事を書いたとき、最初は他のことを見てはいけないことに気付いたので、まず.bash_historyをバックアップしてから、次にバックアップする必要があります。目を覚ましてください。

passwdとshadowを見てください。

[root @ localhost /]＃stat /etc /passwdファイル：" /etc /passwd"サイズ：1723ブロック：8 IOブロック：4096通常ファイルデバイス：fd00h /64768d iノード：919098リンク：1アクセス：（0644 /-rw-r - r--）Uid：（0 /root）Gid：（0 /root）アクセス：2014-09-21 09： 32：01.730288306 + 0800変更：2014-04-02 09：31：28.469644869 + 0800変更：2014-04-02 09：31：28.503201786 +0800 [root @ localhost /]＃stat /etc /shadowファイル：" /Etc /shadow"サイズ：1177ブロック：8 IOブロック：4096ノーマルファイルデバイス：fd00h /64768d iノード：919095リンク：1アクセス：（0000 /----------）Uid：（0 /root） Gid：（0 /root）アクセス：2014-09-21 09：40：01.734126039 + 0800修正：2014-04-02 09：38：11.473125883 + 0800変更：2014-04-02 09：38：11.498275087 +0800 < Br>

侵入は4月2日に成功したようです。 /homeの下のディレクトリを見て、もう1人のユーザーを追加しました。それでもpasswdを見てください。

[root @ localhost /]＃cat /etc /shadow

mysql：!!：15791 :::::: tomcat：!!：15791 :::::: chu： $ 6 $ kG9zMTps $ 7H61NSjXMY3 /Jcは/tZrJtCuwFn1mhDyWXVg4blFghfLdbQNXr.6Li9tYt5fYVJsIlvwb0z68k /EQXsUljZK6.L0：15793：0：99999：7 ::: sqzr：$ 6 $ yBrvX /HDaim /vrK4 $ uArYMq6Zr2XM7BWTzexC16RI6HGmOp9cs65AgLR.v.yx3rN0M6YzblNCJytGsguFSbsGN18OPpcyrSG63fKKS :. 16162：0：99999：7 :::

Passwdは書き込まれません。 passwdでは、sqzrの後ろのユーザーはrootと同じです。これはroot特権です。 Userdel sqzrプロンプトは削除できません、現在ログインしている、Nima、このユーザーはルートに名前を付けることです。 2つのファイルを直接修正してその行を削除します。ユーザーがクリーンアップされました。

次のプロセスを参照してください。

21911？00:00:00 .IptabLex

21917？00:00:00 .IptabLes

29093？00:00:02 prwpodebiq

これは一見したところ、ファイアウォールですが、もう1つ考えてください、Linuxは大文字と小文字を区別する必要がありますこれは正しいことではありません。

Baiduは、それが確かにウイルスであることを発見し、それを採用した人々が他にもいます。

http://www.xujiansheng.cn/2014/01/linux-viruses-iptablex-iptables/

prwpodebiq、まったく意味のないプロセス名、そのような大きなpidもあります。問題があるはずです。

[root @ localhost /]＃検索/名前prwpodebiq -print /boot /prwpodebiq /etc/rc.d/init.d/prwpodebiq

[root] @localhost /]＃cd /boot /[root @ localhost boot]＃ll総使用量19588 -rw-r - r--。1 root root 97862 2011年5月20日config-2.6.32-71.el6.x86_64 drwxr -xr-x。3ルートルート1024 2013年3月27日efi drwxr-xr-x。2ルートルート1024 3月27 2013 2013 grub -rw-r - r--。1ルートルート13419499 2013年3月27日initramfs-2.6 .32-71.el6.x86_64.img lrwxrwxrwx 1ルートルート25 September 16 22:31 IptabLes - > /etc/rc.d/init.d/IptabLes lrwxrwxrwx 1ルートルート25 September 16 22:31 IptabLex - > /etc/rc.d/init.d/IptabLex drwx ------。2ルートルート12288 2013年3月27日紛失+見つかった-rwxr-x --- 1ルートルート613533 9月21 21:29 Prwpodebiq -rw-r - r--。1ルートルート160542 2011年5月20日symvers-2.6.32-71.el6.x86_64.gz -rw-r - r--。1ルートルート2226490 2011年5月20日System.map-2.6.32-71.el6.x86_64 -rwxr-xr-x。1ルートルート3791040 2011年5月20日vmlinuz-2.6.32-71.el6.x8 6_64

[root @ localhostブート]＃stat prwpodebiqファイル：" prwpodebiq"サイズ：613533ブロック：1200 IOブロック：1024ノーマルファイルデバイス：801h /2049d iノード：22リンク：1アクセス：（0750 /-rwxr-x ---）Uid：（0 /root）Gid：（0 /root）アクセス：2014-09-21 23：16：18.000000000 + 0800修正：2014-09-21 21：29：26.000000000 +0800変更：2014-09-21 21：29：26.000000000 + 0800

777ファイルはウイルスにあります。

[root @ localhost boot]＃find /-name * IptabL * -print /boot/.IptabLes /boot/.IptabLex /etc/rc.d/rc4.d/S55IptabLes /etc/rc.d /rc4.d/S55IptabLex /etc/rc.d/rc2.d/S55IptabLes /etc/rc.d/rc2.d/S55IptabLex /etc/rc.d/rc3.d/S55IptabLes /etc/rc.d/rc3 .d /S55IptabLex /etc/rc.d/rc5.d/S55IptabLeszh-CN"],null,[1],zh-TW"]]]