全球主机交流论坛

标题: 手撕病毒 ^_^||| [打印本页]

作者: ptc123 时间: 2016-11-3 01:13
标题: 手撕病毒 ^_^|||
家里的服务器，安装debian7-64的小电脑(淘宝上买的，好像的工控机吧)，装不了nt5，装nt6需要显示器，否则不让开机，后来我买了个3个75欧的电阻，可以模拟显示器，但想想还是试装了debian，很好，再装kvm，开2k3小鸡用，中病毒了。病毒样本udev.7z，是我保存下来的。

弄了好几天，手撕了。

症状：无故地连镇江电信、深圳电信、福建电信几个IP的2897端口，好像还没在我的电脑上做别的坏事，估计是是流量肉鸡。
iptables -A OUTPUT -p tcp --dport 2897 -j DROP,关闭外连2897端口。
iptables-save ,重启后，规则保存不了。以为是病毒干的好事，其实这个是debian系统没保存，上网查查，需要
iptables-restore之，加载在if-pre-up/目录里，看官自己去查吧。

会在/boot目录下生成wieruqweiru等随机文件名可执行文件，马上删掉自己，再次生成。
然后会添加runlevel 2,3,4,5服务程序。这个服务每次启动后是固定的，比如说是ieruwiruewir
用pstree查看，可以看到这个进程，生成的服务也是这个名字如S01ieruwiruewir
这个删掉也没用，pkill ieruwiruewir，马上生成新的服务。
使用find / -name *ieruwiruewir* |xargs rm,删除后，重启，包括直接拔电源，又会再生成新的服务，启动进程。

今天无意中乱敲一个命令，strings，delphi中，是字符串列表，网上查之，是方便查看文件字符串功能。
遂查看上面的那个服务,发现有/etc/cron.hourly/这个串，找到一个cron.sh，里面拷贝udev，并运行，在另外的虚拟机，并没发现有这个udev文件，原来这才是病毒源，杀之，干净了。弄了好几天，唉。
找杀毒软件,clamav，更新病毒库，也杀不了这个。倒是给我杀了两个木马 getty.001,ss.

linux不熟悉，表述不当，看官见笑。如果是windows,做个钩子，很容易查的。顺便请问下，linux下有没有管理进程创建的工具，或者是iptables一样管理进程的工具呢？

病毒样本上传不上来，大家查查自己的机子有没有外连2897端口。netstat -ntup

作者: 2005exf 时间: 2016-11-3 08:14
这贴为什么没有人顶??虽然看不懂.但也是手打的呀...

作者: 单调 时间: 2016-11-3 08:14
我看到了高手

作者: BGP 时间: 2016-11-3 08:28
http://www.kvm.la/901.html

gcc.sh现在已经开始在改变了，例如文件名改成了gcc4.sh和在rc.local里面加脚本。。。。。

这个主要是挖矿的，引起原因目测是root密码太简单以及glibc的锅。

作者: the2ndface 时间: 2016-11-3 08:40
666666

作者: YIem 时间: 2016-11-3 09:17
看不懂- 我还是赞一下

作者: 李狗蛋万岁 时间: 2016-11-3 09:39
应该提倡这类型的贴子，改善下论坛环境

作者: libie123456 时间: 2016-11-3 09:48
不错，楼主威武，虽说看不懂。

作者: miven 时间: 2016-11-3 09:52
高手啊换我直接重装了事

作者: Tran 时间: 2016-11-3 10:16
楼主真大神

作者: 用户名 时间: 2016-11-3 10:52
技术活好帖

作者: 爱吹海绵的泡泡 时间: 2016-11-3 12:10
看不懂。。。啊。。。

作者: MagicHen 时间: 2016-11-3 12:38
提示: 作者被禁止或删除内容自动屏蔽

作者: qxwo 时间: 2016-11-3 13:19
膜拜下，linux只会装不会用

作者: okfans 时间: 2016-11-3 13:29
技术贴！
学习下

作者: suzizi 时间: 2016-11-3 14:31
提示: 作者被禁止或删除内容自动屏蔽

作者: flyfish 时间: 2016-11-3 16:30
下次用strace命令，跟踪病毒的进程，会省事点

欢迎光临全球主机交流论坛 (https://443502.xyz/)