-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-07-04
- 在线时间18827小时
-
- 发帖801519
- 搜Ta的帖子
- 精华0
- 飞翔币214912
- 威望215767
- 飞扬币2713160
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 801519
- 飞翔币
- 214912
- 威望
- 215767
- 飞扬币
- 2713160
- 信誉值
- 8
|
[font=-apple-system, BlinkMacSystemFont, "]身为运维小白新手的我在公司深信服防火墙发现[font=-apple-system, BlinkMacSystemFont, "]内网的服务器(redhat )中了[font=-apple-system, BlinkMacSystemFont, "]billgates病毒疯狂大量发包(平均每[font=-apple-system, BlinkMacSystemFont, "]5分钟发包). [font=-apple-system, BlinkMacSystemFont, "]用[font=-apple-system, BlinkMacSystemFont, "]iptables防火墙设置限制外发包量处理。[font=-apple-system, BlinkMacSystemFont, "]iptables -A OUTPUT -o eth0 -m limit --limit1024/sec -j ACCEPTiptables -P OUTPUT DROP[font=-apple-system, BlinkMacSystemFont, "]察看启动日志发现非[font=-apple-system, BlinkMacSystemFont, "]root用户在[font=-apple-system, BlinkMacSystemFont, "]etcinit.d自启动目录下创建[font=-apple-system, BlinkMacSystemFont, "]2个文件[font=-apple-system, BlinkMacSystemFont, "]dbsecurityspt 和[font=-apple-system, BlinkMacSystemFont, "] selinux:非正常程序[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "]察看可疑程序批处理的目录及路径:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "]通过[font=-apple-system, BlinkMacSystemFont, "]ps -ef 找到进程[font=-apple-system, BlinkMacSystemFont, "]pid,然后利用[font=-apple-system, BlinkMacSystemFont, "] lsof -p 查看进程打开的所有文件信息,并尝试杀掉进程,并删除这些打开的文件,必须要删除[font=-apple-system, BlinkMacSystemFont, "].sshd主程序和[font=-apple-system, BlinkMacSystemFont, "]getty克隆副程序文件删除后,否则相关联文件还会重新生成。[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]然后分别清除以下生成的木马病毒文件清除受感染病毒文件:[font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=&][size=; font-size: 12pt,12pt]·[font=-apple-system, BlinkMacSystemFont, "]rm -rfi/tmp/moni.lod /tmp/gates.lod · rm -rfi /etc/init.d/selinux/etc/init.d/DbSecuritySpt·rm -rfi /etc/rc1.d/S97DbSecuritySpt/etc/rc1.d/S99selinux· rm -rfi /etc/rc2.d/S97DbSecuritySpt/etc/rc2.d/S99selinux· rm -rfi /etc/rc3.d/S97DbSecuritySpt/etc/rc3.d/S99selinux· rm -rfi /etc/rc4.d/S97DbSecuritySpt/etc/rc4.d/S99selinux· rm -rfi /etc/rc5.d/S97DbSecuritySpt/etc/rc5.d/S99selinux· rm -rfi /usr/bin/bsd-port/ /tmp/pythompy重启服务器后,用深信服防火墙及zabbix 察看该服务器 流量等状态正常。[size=; font-size: 10.5pt,10.5pt]billgates僵尸网络木马是一个感染性及隐蔽性极强的病毒,它会创建进程来进行[font=-apple-system, BlinkMacSystemFont, "][size=; font-size: 10.5pt,10.5pt]C&C[size=; font-size: 10.5pt,10.5pt]通信、病毒监控等操作,、[size=; font-size: 10.5pt,10.5pt]同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。和[font=-apple-system, BlinkMacSystemFont, "][size=; font-size: 10.5pt,10.5pt]rootkill[size=; font-size: 10.5pt,10.5pt]很相似主要利用服务器某个程序的后门植入服务器然当作肉鸡。[font=-apple-system, BlinkMacSystemFont, "]我是运维新手,以上手动清除描述有错漏不当之处,有请各位大佬见谅。
|
