Linuxサーバのトロイの木馬、手動の削除方法

私はこのような状況に遭遇したので、この記事を読むだけで、最初に転載されます。とても便利です。

まず、バックドア型トロイの木馬は次のとおりです。

（もちろん、落ち着いてコーヒーを飲んでも、ゆっくりと見つかります）

トロイの木馬の名前

Linux.BackDoor.Gates.5

http://forum.antichat.ru/threads/413337/

午後の14時頃には、サーバーがいくつかありますが、トラフィックは非常に多く、通常は数百Mのトラフィックしかありませんが、この時点でトラフィックはGで検出されます。手持ちのサーバーはたくさんありますが、そうではないデバイスもいくつかあります。目には目があります、その結果が見つかると思います。率直に言って、最高のパフォーマンスを達成するために、私達のサーバーのどれもファイアウォール（ハードウェアとiptablesを含む）を持っていません、すなわちサーバーはストリークしています。これらのサーバーは縞模様になっています

ここ数年問題はありませんでしたが、Linuxサーバーのセキュリティは非常に満足のいくものです。

最初はpsチェックプロセス、netstatチェックポート番号、iftopチェックトラフィックといった手がかりがありませんが、最初は誰もがこの種の操作を開始したと推定され、だめになっています。 （これはハッカーの希望と推定され、明らかに彼らは私を非常によく知っている、などです。）私はしばらくの間異常を発見していませんが、iftopは私達のサーバーが多数のパッケージを送信していることを発見しました。 IPへのトラフィックは600 M以上に達することがあります、そして私たちはそのサーバーがハッキングされたことに気付きましたが、ブロイラーになって他のサーバーを攻撃していました。
誰かがリモートコントロールしているように、IPも常に変化しています。

仕事を始めるのはもうすぐですが、現時点では、このような状況にあるサーバーは約3台あります。 > a、/bin /ps、/bin /netstaプログラムは1.2Mのサイズで、明らかにパッケージによってドロップされています。

b、/usr/bin/.dbus-daemon--システムプロセスも持って来られましたそのようなプログラムを書いている人々は強い法律意識を持っているようで、そうでなければそのプログラムは宣伝され、死んでいるようです。

大きなCIAが彼を手放すでしょうか？

c、/etc/rc.localパーミッションが変更され、ブートエントリが追加されました

d、lsattr、chattrコマンドが削除されました

e、プロセスがすぐに終了し、再び起きたこれは頭痛の種です

f、最近変更されたファイルをいくつか見つけました、明らかにこれら

gハッカーによって残された、ブート自動スタートファイルは2つのスタートアップアイテムを追加します。オンライン環境にはファイアウォールの設定はありませんが、必然的に、奇妙なトリックを考える必要があります。 /bin /bashの名前を変更し、十分なトラフィックが落ちていることを確認してください。

実際、現時点では本当のトロイの木馬は見つかりませんでしたが、ウイルスの原因を分析して見つける時間がありましたが、この2つはbash名を変更して突然切断されたため、ログインできません。システムをインストールしました。後で、私はそれをゆっくりと探しました、そしてそれは私がそれを見つけてそれから削除したのではありませんでした。この時点で、私はそれを記録するためにブログ記事を書くつもりです、結局のところ、これはオンライン環境がトロイの木馬に遭遇したのは初めてです。

22時ごろ、ブログ記事は途中で書かれていましたが、突然7件のサーバーで障害が発生し、ムードがなくなりました。本当の戦いはまだ始まっていません。それで、次のブログは続けられます、チューン

チューンは少し異なっています、ちょうどそれを見てください。

この間にオンラインで情報が検索されたため、このトロイの木馬に徐々に慣れてきました。現時点では、ls、netstat、chattr、lsattrなどの通常のバイナリプログラムをアップロードしましたが、自動プログラムでこのトロイの木馬プログラムを見つけることができました。分析したもの1つ

これらのトロイの木馬の名前は変更されましたが、それらはすべて不変です。名前は/etc/rc.d/init.d/DbSecuritySptおよび/etc/rc.d/init.d/selinuxに書かれています。通常のサービスはよく似ています。

/usr /local /zabbix /sbin /zabbix_AgentD、/usr /bin /bsd-port /getty、/usr /bin /dpkgd /ps、/usr /bin /があります。 Dbus-daemon - システム、/usr/bin/.sshd、/usr /bin /sshdとにかく、あなたのシステムに似ているもの

プロセスが実行されているとき、彼はほぼ同じに変わります。あなたを混乱させるために、実際には、それらはすべてプログラムと同じサイズです。

今度はこれらのファイルを削除し、これらのプロセスを終了させます。一部のサーバーが削除されなかったため、小さなエピソードを表示します。上記のコマンドは有効にすることができますので、注意してください。午前4時頃、7つのサーバーのトロイの木馬がほぼクリーンアップされました。一般的な手順は次のようにまとめられます。

0、トロイの木馬が存在するかどうかを判断する

以下のファイルがあります。

cat /etc/rc.d/init.d/selinux

cat /etc/rc.d/init.d/DbSecuritySpt

ls /usr /bin /bsd-port

ls /usr /bin /dpkgd

サイズが正常かどうかを確認してください。

ls -lh /bin /netstat

ls -lh /bin /ps

ls -lh /usr /sbin /lsof

ls -lh /usr /sbin /ss

1.次のコマンドを/rootにアップロードします。

lsattr chattr ps netstat ss lsof

2、以下のディレクトリとファイルを削除します。

rm -rf /usr /bin /dpkgd（ps netstat lsof ss）

rm -rf /usr /bin /bsd-port（トロイの木馬）

rm -f /usr /local /zabbix /sbin /zabbix_AgentD（トロイの木馬）

rm -f /usr /local /zabbix /sbin/conf.n

rm -f /usr/bin/.sshd

rm -f /usr /bin /sshd

rm -f /root /cmd .n

rm -f /ルート/conf.n

rm -f /root /IP

rm -f /tmp/gates.lod

rm -f /tmp/moni.lod

rm -f /tmp/notify.fileプログラム

rm -f /tmp/gates.lockプロセス番号

rm -f /etc/rc.d/init.d/DbSecuritySpt（上記のトロイの木馬の亜種を起動します）

rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt

rm -f /etc /Rc.d /rc3.d /S97DbSecuritySpt

rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt

rm -f /etc/rc.d/init.d/selinux（デフォルトは/usr /bin /bsd-port /getty）

rm -f /etc /rc .d /rc1.d /S99selinux

rm -f /etc/rc.d/rc2.d/S99selinux

rm -f /etc/rc.d/rc3.d/S99selinux

rm -f /etc/rc.d/rc4.d/S99selinux

rm -f /etc/rc.d/rc5.d/S99selinux

3、以下のプログラムプロセス番号を見つけてkillします。

top一見すると、トロイの木馬のCPU使用率が非常に高いことがわかります。

/root /ps aux | Grep -i jul29（主に最後に開かれたプロセス）

/root /ps aux | Grep -i jul30

/root /ps aux | Grep -i jul31

/root /ps aux | Grep sshd

/root /ps aux | Grep ps

/root /ps aux | Grep getty

/root /ps aux | grep netstat

/root /ps aux | Grep lsof

/root /ps aux | Grep ss

/root /ps aux | Grep zabbix_Agetntd

/root /ps aux | Grep .dbus

例は次のとおりです。zh-CN"],null,[1],zh-TW"]]]