學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>防火墻知識(shí)>

如何清除linux病毒

時(shí)間: 林澤1002 分享

  查看網(wǎng)絡(luò)防火墻,我們的一個(gè)網(wǎng)段IP不停的向外發(fā)包,應(yīng)該是被攻擊成了別人的肉雞了。下面是學(xué)習(xí)啦小編跟大家分享的是如何清除linux病毒,歡迎大家來(lái)閱讀學(xué)習(xí)。

  如何清除linux病毒

  工具/原料

  zabbix

  方法/步驟

  首先我們要先確定是哪臺(tái)機(jī)器的網(wǎng)卡在向外發(fā)包,還好我們這邊有zabbix監(jiān)控,我就一臺(tái)一臺(tái)的檢查,發(fā)現(xiàn)有一臺(tái)的流量跑滿了,問(wèn)題應(yīng)該出現(xiàn)在這臺(tái)機(jī)器上面

  我登錄到機(jī)器里面,查看了一下網(wǎng)卡的流量,我的天啊,居然跑了這個(gè)多流量。

  這臺(tái)機(jī)器主要是運(yùn)行了一個(gè)tomcat WEB服務(wù)和oracle數(shù)據(jù)庫(kù),問(wèn)題不應(yīng)該出現(xiàn)在WEB服務(wù)和數(shù)據(jù)庫(kù)上面,我檢查了一下WEB日志,沒(méi)有發(fā)現(xiàn)什么異常,查看數(shù)據(jù)庫(kù)也都正常,也沒(méi)有什么錯(cuò)誤日志,查看系統(tǒng)日志,也沒(méi)有看到什么異常,我趕緊查看了一下目前運(yùn)行的進(jìn)程情況,看看有沒(méi)有什么異常的進(jìn)程,一查看,果然發(fā)現(xiàn)幾個(gè)異常進(jìn)程,不仔細(xì)看還真看不出來(lái),這些進(jìn)程都是不正常的。

  這是個(gè)什么進(jìn)程呢,我每次ps -ef都不一樣,一直在變動(dòng),進(jìn)程號(hào)一一直在變動(dòng)中,我想看看進(jìn)程打開(kāi)了什么文件都行,一時(shí)無(wú)從下手,想到這里,我突然意識(shí)到這應(yīng)該都是一些子進(jìn)程,由一個(gè)主進(jìn)程進(jìn)行管理,所以看這些子進(jìn)程是沒(méi)有用的,即便我殺掉他們還會(huì)有新的生成,擒賊先擒王,我們?nèi)フ乙幌轮鬟M(jìn)程,我用top d1實(shí)時(shí)查看進(jìn)程使用資源的情況,看看是不是有異常的進(jìn)程占用cpu內(nèi)存等資源,發(fā)現(xiàn)了一個(gè)奇怪的進(jìn)程,平時(shí)沒(méi)有見(jiàn)過(guò)。這個(gè)應(yīng)該是我們尋找的木馬主進(jìn)程。

  我嘗試殺掉這個(gè)進(jìn)程,killall -9 ueksinzina,可是殺掉之后ps -ef查看還是有那些子進(jìn)程,難道沒(méi)有殺掉?再次top d1查看,發(fā)現(xiàn)有出現(xiàn)了一個(gè)其他的主進(jìn)程,看來(lái)殺是殺不掉的,要是那么容易殺掉就不是木馬了。

  可以看到里面有個(gè)定時(shí)任務(wù)gcc4.sh,這個(gè)不是我們?cè)O(shè)定的,查看一下內(nèi)容更加奇怪了,這個(gè)應(yīng)該是監(jiān)聽(tīng)程序死掉后來(lái)啟動(dòng)的,我們這邊把有關(guān)的配置全部刪掉,并且刪掉/lib/libudev4.so。

  在/etc/init.d/目錄下面也發(fā)現(xiàn)了這個(gè)文件。

  里面的內(nèi)容是開(kāi)機(jī)啟動(dòng)的信息,這個(gè)我們也給刪掉

  到此為止,沒(méi)有新的木馬進(jìn)程生成,原理上說(shuō)是結(jié)束掉了木馬程序,后面的工作就是要清楚這些目錄產(chǎn)生的文件,經(jīng)過(guò)我尋找,首先清除/etc/init.d目錄下面產(chǎn)生的木馬啟動(dòng)腳本,然后清楚/etc/rc#.d/目錄下面的連接文件。

  后來(lái)我查看/etc目錄下面文件的修改時(shí)間,發(fā)現(xiàn)ssh目錄下面也有一個(gè)新生成的文件,不知道是不是有問(wèn)題的。清理差不多之后我們就要清理剛才生成的幾個(gè)文件了,一個(gè)一個(gè)目錄清楚,比如"chattr -i /tmp",然后刪除木馬文件,以此類推刪除/bin、/usr/bin目錄下面的木馬,到此木馬清理完畢。

2675185