记录一次linux系统清除DbSecuritySpt木马过程

KaiA8

已于 2024-07-13 17:08:27 修改

阅读量1.4k

点赞数 1

分类专栏： Linux系统文章标签： linux ssh 运维安全经验分享

于 2021-03-23 10:47:02 首次发布

本文链接：https://blog.csdn.net/gjjumin/article/details/115112107

版权

Linux系统专栏收录该内容

5 篇文章 0 订阅

订阅专栏

近期公司安全部门发通知说一台Linux主机有ganiw，nitol，后门软件，木马远控；
看到这几个词，完全摸不着头脑，网上也查不到什么东西；
根据安全部门的建议，用netstat查看是否有主动外联的进程（可疑的木马进程），也没查到什么；
如此这般安全监测、通知、自查、监测、通知，往返好多次都是依旧，业务部门也烦了；
我又一次检查，在top命令监测时，发现有一个进程Linux-syn2在不断的出现，而且有不同的PID;
我第一次看到这个进程名称时，以为是Liunx系统层的正常同步进程，不敢贸然kill，先把它的PID记录下来；
再检查crontab，也没有异常的计划任务；
检查/etc/rc.local无异常；
检查/etc/init.d/看到一个脚本名称为DbSecuritySpt，依据以往经验，这个命名很另类啊，很异常啊；
拿着这个文件名去网上一搜，果然有相关处理经验分享；
首先发现/etc/init.d/selinux的修改时间与DbSecuritySpt脚本的修改时间是相同的，所以也是木马的工具咯；
检查发现系统的selinux状态是enforcing，有点奇怪，一般人都会禁用selinux的，这也印证了上面的猜测；
然后发现/etc/rc1.d/--rc5.d/目录下都有上述DbSecuritySpt和selinux的链接脚本，保证的机器多个工作模式都能运行木马；
检查/tmp目录时，发现有Linux-syn2脚本，与Linux-syn2进程对应起来了；
到这，可以说这个木马的表象已经明了，通过/etc/init.d/selinux和DbSecuritySpt启动木马脚本/tmp/Linux-syn2；
开始操作：
一顿kill -9把Linux-syn2进程全部杀掉；一顿rm -fr将上面发现的木马脚本全部干掉；
据以往经验，木马病毒的进程、脚本都有死灰复燃、自动恢复的特性；
果不其然，过了一分钟，再检查时，发现Linux-syn2进程又出现了，刚才删除的脚本，也都再次出现了；
再次检查发现，通过ps命令看不到Linux-syn2这个进程，猜测ps命令被篡改了，
于是which ps、find / -name ps发现系统下有两个ps，/usr/bin/ps和/usr/bin/dpkgd/ps，
上网查了一下dpkgd目录不是正常系统目录，进入此目录查看，还有netstat ss两个系统工具，于是判断这三个工具被篡改了；
将/usr/bin/dpkgd/目录下的这三个工具重命名后，再运行ps -ef/netstat -ntlp/ss -t都无返回结果，断定系统原有的这三个工具被修改了，
从正常机器上cp下这三个工具，替换后，三个命令可以正常使用了；
检查/usr/bin目录下其他命令时，发现该目录下有一个bsd-port目录，下面有getty、getty.lock、conf.n、cmd.n等文件，看getty.lock文件内容像一个进程ID；
通过top命令也看到了getty这个进程，再看cmd.n文件内容是一个wget命令，于是明白了，这个目录下的文件就是用来下载木马脚本的；
于是kill、rm一顿干掉；同样，干掉之后，还是会自动生成；至于是怎么生成的，没思路了，就想到写一个自动脚本，不停的kill和rm；
于是写了一个killyou脚本，检查木马进程、杀进程、删木马脚本，循环起来。。。

#!/bin/bash
while true
do
PID1=`pgrep -f Linux-syn2`
if [ -n "${PID1}" ];then
 kill -9 ${PID1}
else
 sleep 3
 PID1=`pgrep -f Linux-syn2`
fi
rm -fr /usr/bin/bsd-port/*
rm -fr /usr/bin/dpkgd/*
rm -fr /tmp/Linux-syn2
rm -fr /tmp/gates.lod
rm -fr /tmp/moni.lod
rm -fr /etc/init.d/DbSecuritySpt
rm -fr /etc/init.d/selinux
for PID2 in `pgrep -f /usr/bin/bsd-port/getty`;do
if [ -n "${PID2}" ];then
 kill -9 ${PID2}
else
 echo "no getty process."
fi
done
sleep 3
for i in `pgrep -f .sshd`;do kill -9 $i;done
for j in `pgrep -f /usr/bin/dpkgd/ps`;do kill -9 $j;done
done

通知安全部门处理结果，通知业务部门修改系统密码，大功告成。。。。

业务部门反馈登录不上此机器了，显示拒绝登录。。我勒个去。。我没改登录限制啊（我早上登录没退出过，所以我的连接还在）；
检查/etc/ssh/sshd_config时发现，vi打开此文件之后，总是自动退出到命令行模式，感觉这个文件也被篡改了；
用netstat检查系统监听端口，发现没有22端口，擦，，sshd服务也被破坏了。。（我的ssh连接也自动断开了）
尝试从正常机器上cp /usr/sbin/sshd覆盖，重新启动sshd服务，第一次成功了，保持了一分钟，之后sshd服务又不行了；
网上找到一个临时方案，时用dropbear替换sshd服务，根据网上操作，安装dropbear、启动dropbear，成功再次连接登录；
（此过程中庆幸的是该机器是虚拟机，可以通过宿主机连接，cp文件，如果是机房里的物理机，那就麻烦了。）

扫一扫关注作者公众号