抓鸡直播截图(南非蚂蚁巨作)
2016-03-18 15:08
260 查看
首先登录系统,通过top命令检查系统整体情况
发现第一个进程占用很大cpu资源,肯定有问题从文件名看出,这不像是一个正常的系统进程
通过进程id判断出执行文件的位置,操作如下:
进一步查看/usr/bin下的文件信息
看第一个文件,非常异常,主要看文件属性
继续通过ps命令查看系统进程,发现
看加壳程序/usr/bin/dpkgd/ps -ef
看到了吗,这些都是加壳伪装的命令ps命令看到的其实已经是假象了
然后在看看crontab是否有守护进程信息
发现有异样,看那个kill.sh进程,每3分钟执行一次
询问后得知这个不是人为设置的守护进程
抓内容看看:
看到内容了吗,大家应该能看懂
一个简单的shell
抓网卡,然后设置up状态,所以即使你down了网卡,他也能自动启动继续看看dmesg信息
这是内核队列过大,肉鸡发包导致连接队列沾满爆出的信息
一个开发机器,不可能有这么大流量的
基本信息就是这样
那么下来就开始杀这些木马了先rm .sshd文件
然后
接着删除这个加壳目录下面的东西
我这里暂时没删除,更改了路径
这样操作后,发现ps命令不能用了
不要紧,难不倒我们
重新安装ps命令即可,通过yum
怎么查ps是哪个包,基础命令很重要
好了,安装完成了,再次ps -ef
发现不一样了,跟之前显示进程的方式不一样了,因为现在的才是真的系统状态
先kill掉这个pid,然后删除之前crontab里面的kill.sh文件
看来kill方法不行,有守护进程,只要进程被关闭,就自动重启了
【博士】南非蚂 2016/3/18 15:02:30
那么我来个这样的命令
【博士】南非蚂 2016/3/18 15:02:45
kill -STOP 4440
【博士】南非蚂 2016/3/18 15:03:21
是不是不再出来了
【博士】南非蚂 2016/3/18 15:03:28
然后继续观察这个脚本
【博士】南非蚂 2016/3/18 15:03:30
【博士】南非蚂 2016/3/18 15:03:56
其实罪魁祸首在这里cp /lib/libkill.so /lib/libkill.so.6
【博士】南非蚂 2016/3/18 15:05:08
现在世界清静了
【博士】南非蚂 2016/3/18 15:05:16
但是问题还远远没有结束
【博士】南非蚂 2016/3/18 15:06:59
下面开始做收尾工作,清除后门
【博士】南非蚂 2016/3/18 15:09:59
先通过chartt +i 锁定下/etc/crontab文件
【博士】南非蚂 2016/3/18 15:11:06
接着查找最近生成的可疑文件,然后删除之
【博士】南非蚂 2016/3/18 15:11:20
注意这个命令的用法
【博士】南非蚂 2016/3/18 15:11:31
通过输出可以看到那些是可疑进程
【博士】南非蚂 2016/3/18 15:12:56
在删除的过程中发现一个很有意思的问题
【博士】南非蚂蚁
看看这个指向到了那里
15:15:23
【博士】南非蚂 2016/3/18 15:15:23
很明显,这些文件和指向的文件都一并删除
【博士】南非蚂 2016/3/18 15:17:18
当然,这个也不能留
【博士】南非蚂 2016/3/18 15:17:23
删
【博士】南非蚂 2016/3/18 15:22:25
/usr/bin下面绝对不能放过可疑文件
【博士】南非蚂 2016/3/18 15:22:31
查找最新文件即可
【博士】南非蚂 2016/3/18 15:23:51
所哟可以文件删除完成,执行最后一个命令
【博士】南非蚂 2016/3/18 15:23:58
kill -9 4440
【博士】南非蚂 2016/3/18 15:24:11
刚才最后的一个木马文件
【博士】南非蚂 2016/3/18 15:26:12
现在在看看是否还会产生新的文件呢,在
【博士】南非蚂 2016/3/18 15:26:29
它回不来了
现在世界清静了
注:时2016/03/18现场摘录成此博文,多谢蚂蚁老师细心的讲解,也希望浏览过的博友留下宝贵的意见,有问题及时提,时间仓促,没来得及修整,授人以鱼不如授人以渔。多注意下思路,希望此博文对还在路上的你们带来吉兆。
如果您希望以后可以永远保持一颗进取得心
Linux技术交流探讨群 326916393
期待您的光临,让知识汇聚为最有力量的源泉,
让未来渐行渐远。
希望我们永远不要自己骗自己。
做技术不可耻。。。。。。
本文出自 “江湖笑笑生” 博客,请务必保留此出处http://hashlinux.blog.51cto.com/9647696/1752589
发现第一个进程占用很大cpu资源,肯定有问题从文件名看出,这不像是一个正常的系统进程
通过进程id判断出执行文件的位置,操作如下:
进一步查看/usr/bin下的文件信息
看第一个文件,非常异常,主要看文件属性
继续通过ps命令查看系统进程,发现
看加壳程序/usr/bin/dpkgd/ps -ef
看到了吗,这些都是加壳伪装的命令ps命令看到的其实已经是假象了
然后在看看crontab是否有守护进程信息
发现有异样,看那个kill.sh进程,每3分钟执行一次
询问后得知这个不是人为设置的守护进程
抓内容看看:
看到内容了吗,大家应该能看懂
一个简单的shell
抓网卡,然后设置up状态,所以即使你down了网卡,他也能自动启动继续看看dmesg信息
这是内核队列过大,肉鸡发包导致连接队列沾满爆出的信息
一个开发机器,不可能有这么大流量的
基本信息就是这样
那么下来就开始杀这些木马了先rm .sshd文件
然后
接着删除这个加壳目录下面的东西
我这里暂时没删除,更改了路径
这样操作后,发现ps命令不能用了
不要紧,难不倒我们
重新安装ps命令即可,通过yum
怎么查ps是哪个包,基础命令很重要
好了,安装完成了,再次ps -ef
发现不一样了,跟之前显示进程的方式不一样了,因为现在的才是真的系统状态
先kill掉这个pid,然后删除之前crontab里面的kill.sh文件
看来kill方法不行,有守护进程,只要进程被关闭,就自动重启了
【博士】南非蚂 2016/3/18 15:02:30
那么我来个这样的命令
【博士】南非蚂 2016/3/18 15:02:45
kill -STOP 4440
【博士】南非蚂 2016/3/18 15:03:21
是不是不再出来了
【博士】南非蚂 2016/3/18 15:03:28
然后继续观察这个脚本
【博士】南非蚂 2016/3/18 15:03:30
【博士】南非蚂 2016/3/18 15:03:56
其实罪魁祸首在这里cp /lib/libkill.so /lib/libkill.so.6
【博士】南非蚂 2016/3/18 15:05:08
现在世界清静了
【博士】南非蚂 2016/3/18 15:05:16
但是问题还远远没有结束
【博士】南非蚂 2016/3/18 15:06:59
下面开始做收尾工作,清除后门
【博士】南非蚂 2016/3/18 15:09:59
先通过chartt +i 锁定下/etc/crontab文件
【博士】南非蚂 2016/3/18 15:11:06
接着查找最近生成的可疑文件,然后删除之
【博士】南非蚂 2016/3/18 15:11:20
注意这个命令的用法
【博士】南非蚂 2016/3/18 15:11:31
通过输出可以看到那些是可疑进程
【博士】南非蚂 2016/3/18 15:12:56
在删除的过程中发现一个很有意思的问题
【博士】南非蚂蚁
看看这个指向到了那里
15:15:23
【博士】南非蚂 2016/3/18 15:15:23
很明显,这些文件和指向的文件都一并删除
【博士】南非蚂 2016/3/18 15:17:18
当然,这个也不能留
【博士】南非蚂 2016/3/18 15:17:23
删
【博士】南非蚂 2016/3/18 15:22:25
/usr/bin下面绝对不能放过可疑文件
【博士】南非蚂 2016/3/18 15:22:31
查找最新文件即可
【博士】南非蚂 2016/3/18 15:23:51
所哟可以文件删除完成,执行最后一个命令
【博士】南非蚂 2016/3/18 15:23:58
kill -9 4440
【博士】南非蚂 2016/3/18 15:24:11
刚才最后的一个木马文件
【博士】南非蚂 2016/3/18 15:26:12
现在在看看是否还会产生新的文件呢,在
【博士】南非蚂 2016/3/18 15:26:29
它回不来了
现在世界清静了
注:时2016/03/18现场摘录成此博文,多谢蚂蚁老师细心的讲解,也希望浏览过的博友留下宝贵的意见,有问题及时提,时间仓促,没来得及修整,授人以鱼不如授人以渔。多注意下思路,希望此博文对还在路上的你们带来吉兆。
如果您希望以后可以永远保持一颗进取得心
Linux技术交流探讨群 326916393
期待您的光临,让知识汇聚为最有力量的源泉,
让未来渐行渐远。
希望我们永远不要自己骗自己。
做技术不可耻。。。。。。
本文出自 “江湖笑笑生” 博客,请务必保留此出处http://hashlinux.blog.51cto.com/9647696/1752589
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- IOS设备设计完整指南
- Server对象(是属性)
- 前端模板引擎arttemplate.js 学习之include方法
- SQL Server函数学习笔记(一)
- OpenCV 特征点检测
- 使用远程桌面进行silktest测试可能出现的问题(整理)
- QT学习之路————定时器的使用
- java异步计算Future的使用
- 敏捷测试与开发之我见
- IE浏览器下异步请求的缓存问题
- CUBRID学习笔记 47 show
- Response对象
- 关于mac android studio 与svn 解除关联后 无法再次share (Subversion) 的解决办法
- TN21 命令与消息传递
- Eclipse android 调试技巧
- 微博Android平台SDK文档
- 数据库基础
- androidUI(ScrollView与GridView,ListView的冲突)
- [基础] C++与JAVA的内存管理
- 使用Java7提供的Fork/Join框架