Python技术栈

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 3164|回复: 20

[LINUX] 亲手抓到两个Linux病毒

[复制链接]

1

主题

6

帖子

18

积分

新手上路

Rank: 1

积分
18
发表于 2018-10-23 08:49:45 | 显示全部楼层 |阅读模式
隔壁的服务器被人用来挖矿,让我帮忙看一下。每天10pm到6am运行,有人登录就自动停下来。ps/top/htop/lsof/ls 都看不到任何进程和相关的文件。只是在自动停的一瞬间显示有一个叫做htral的程序在运行。
费了很大功夫才找到这些恶意文件。有两个bash脚本放在 /usr/bin 下面。每次都是它们把一个 /usr/include 下面的 tok.h (实际上是一个binary执行命令)拷贝到 /tmp 下面运行,马上又从 /tmp 下面删除。同时,有一个隐藏在 /usr/lib/rpm 下面的内核模块,insmod 插入内核之后就会修改 ps/top/htop/lsof/ls 的输出,屏蔽相关的进程和文件。这个模块还有一个特征:自带一个命令,任何人运行就变成root。

删掉这些文件,以为就万事大吉。想不到晚上10点钟挖矿程序又启动了。再次搜索,发现 /var/tmp/.lock 下面5个恶意文件,其中两个脚本,一个类似的挖矿程序,一个库文件。脚本文件修改 /etc/ld.preload,强制load这个库文件,估计也是屏蔽 ps/top/htop/lsof/ls输出的。脚本还负责晚上10点运行、早上6点收工,以及监视是否有人登录。/
回复

使用道具 举报

1

主题

4

帖子

26

积分

新手上路

Rank: 1

积分
26
发表于 2018-10-23 08:41:08 | 显示全部楼层
好像很厉害的样子,想请问下新手该怎么入门linux
回复

使用道具 举报

0

主题

3

帖子

27

积分

新手上路

Rank: 1

积分
27
发表于 2018-10-23 08:51:16 | 显示全部楼层
不明觉厉,新手

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

0

主题

7

帖子

45

积分

新手上路

Rank: 1

积分
45
发表于 2018-10-23 09:01:15 | 显示全部楼层
前一段时间服务器被人利用挖矿的很多
回复

使用道具 举报

0

主题

5

帖子

53

积分

注册会员

Rank: 2

积分
53
发表于 2018-10-23 09:11:25 | 显示全部楼层
最近看了一篇阿里工程师的博文也说了这件事,最近不是也有一些ssh库被人在注入盗窃代码,说不定就是这个最好去检查一下服务依赖的开源库。
回复

使用道具 举报

1

主题

6

帖子

18

积分

新手上路

Rank: 1

积分
18
 楼主| 发表于 2018-10-23 09:21:00 | 显示全部楼层
我把其中两个脚本文件贴在这儿吧,可能会有人感兴趣:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

1

主题

6

帖子

18

积分

新手上路

Rank: 1

积分
18
 楼主| 发表于 2018-10-23 09:30:44 | 显示全部楼层
Linux自己防病毒程序是可以识别这一来文件的,建议大家使用:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

0

主题

5

帖子

53

积分

注册会员

Rank: 2

积分
53
发表于 2018-10-23 09:30:45 | 显示全部楼层
果然发链接被删了。
回复

使用道具 举报

0

主题

4

帖子

18

积分

新手上路

Rank: 1

积分
18
发表于 2018-10-23 09:47:36 | 显示全部楼层
啊啊啊啊啊啊啊啊啊啊啊
回复

使用道具 举报

0

主题

3

帖子

16

积分

新手上路

Rank: 1

积分
16
发表于 2018-10-23 09:48:58 | 显示全部楼层
我擦!我要沙发!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


QQ|Archiver|手机版|小黑屋|Python.BBS ( 鲁ICP备18046958号 )

GMT+8, 2020-1-29 11:40 , Processed in 0.158475 second(s), 34 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表