通過日常檢查,發現某服務器上有不明進程與外部通信。使用了perl 作為運行環境。
首先更新部分軟件包,防止部分系統命令已被篡改。
yum update lsof procps -y
lsof -i -Pn | grep perl
通過查找到pid
lsof -p pid
查找到該程序啟動目錄,以及相應程序。
安裝clamav 通過使用clamav 對其掃描
/usr/local/clamav/bin/clamscan --infected -r /tmp -l /var/log/clamscan.log
得出其屬於惡意程序
/tmp/b17z.tar: Unix.Malware.Agent-1845690 FOUND
刪除及殺掉相應進程后,后續觀察后仍然發現不明進程與外部通信。
[root@xxx ~]# lsof -p xxxpid COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME b 15825 www cwd DIR 8,2 0 336856147 /tmp/.b17z (deleted) b 15825 www rtd DIR 8,2 4096 2 / b 15825 www txt REG 8,2 945732 336856148 /tmp/.b17z/b (deleted) b 15825 www 0r REG 8,2 1200 336856193 /tmp/.b17z/d.php (deleted) b 15825 www 1w FIFO 0,8 0t0 1021617137 pipe b 15825 www 2w FIFO 0,8 0t0 1020513194 pipe b 15825 www 3r REG 8,2 50 336856185 /tmp/.b17z/p (deleted) b 15825 www 4r REG 8,2 921683 336856201 /tmp/.b17z/i (deleted) b 15825 www 8u REG 8,2 0 336856133 /tmp/ZCUDBzxXVC (deleted)
通過使用該命令觀察,發現該惡意程序一直存活,並不停更新pid
lsof -i tcp -Pn|grep b |awk '{print $2}'|xargs -i lsof -p {}
ps axf
查找其父進程
ps -ef |grep `lsof -i tcp -Pn|grep b |awk '{print $2}'`
發現其父進程與 httpd 相關,檢查 httpd 進程 確定部分進程關聯/tmp/ZCUDBzxXVC 疑似該惡意程序通過 httpd 漏洞注入系統。
更新 httpd 版本。
整體處理過程充分體現了我的菜鳥程度,在摸索的過程中耗費了大量時間。