記一次linux下惡意軟件清除記錄


通過日常檢查,發現某服務器上有不明進程與外部通信。使用了perl 作為運行環境。

首先更新部分軟件包,防止部分系統命令已被篡改。

yum update lsof procps -y

lsof -i -Pn | grep perl

通過查找到pid

lsof -p pid

查找到該程序啟動目錄,以及相應程序。

安裝clamav 通過使用clamav 對其掃描

/usr/local/clamav/bin/clamscan --infected  -r /tmp -l /var/log/clamscan.log

得出其屬於惡意程序

/tmp/b17z.tar: Unix.Malware.Agent-1845690 FOUND

刪除及殺掉相應進程后,后續觀察后仍然發現不明進程與外部通信。

[root@xxx ~]# lsof -p xxxpid
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF       NODE NAME
b       15825  www  cwd    DIR    8,2        0  336856147 /tmp/.b17z (deleted)
b       15825  www  rtd    DIR    8,2     4096          2 /
b       15825  www  txt    REG    8,2   945732  336856148 /tmp/.b17z/b (deleted)
b       15825  www    0r   REG    8,2     1200  336856193 /tmp/.b17z/d.php (deleted)
b       15825  www    1w  FIFO    0,8      0t0 1021617137 pipe
b       15825  www    2w  FIFO    0,8      0t0 1020513194 pipe
b       15825  www    3r   REG    8,2       50  336856185 /tmp/.b17z/p (deleted)
b       15825  www    4r   REG    8,2   921683  336856201 /tmp/.b17z/i (deleted)
b       15825  www    8u   REG    8,2        0  336856133 /tmp/ZCUDBzxXVC (deleted)

 通過使用該命令觀察,發現該惡意程序一直存活,並不停更新pid

lsof -i tcp -Pn|grep b |awk '{print $2}'|xargs -i lsof -p {}

ps axf

查找其父進程

ps -ef |grep `lsof -i tcp -Pn|grep b |awk '{print $2}'`

發現其父進程與 httpd 相關,檢查 httpd 進程 確定部分進程關聯/tmp/ZCUDBzxXVC 疑似該惡意程序通過 httpd 漏洞注入系統。

更新 httpd 版本。

整體處理過程充分體現了我的菜鳥程度,在摸索的過程中耗費了大量時間。

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM