快速业务通道

linux下bob2木马查杀的经历

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-03-29

最近接到客户投诉说我们托管服务器国外某个地区发送大量的数据包,而我们的系统中根本没这样的应用,初步估计就是服务器已经被攻击了,有可能会被挂马.把公司的副总裁请过来看了一下,几分种就搞定了,特别记录一下过程以备后忘.

,是往外发包,固然会用到端口,那么先用netstat -anp来查看一下端口使用情况.结果拉下来一看就有很多使用22端口的,仔细一看,是连接其他主机的22端口,看来是本机中木马了,还在扫描其他主机的登录信息.再netstat -anp | grep sshd看了一下,果然非常的不正常.

然后,根据lsof查看一下其程序打开的文件情况,这就非常清楚了,正好用的文件会列出了其程序路径,很快就定位到程序所在的位置.这里看到一个程序也命名成sshd,看来明显是混淆视听的.简单看了一下这个程序的文件,明显是一个字典暴力破解的程序,我们服务器原先密码设置太简单了,被上了木马.正准备删掉进程的时候发现有点棘手,用killall命名的话会把真的sshd也杀掉,结果自己就连不上了.想了一下,把木马程序目录给删掉以后,直接重启服务器.

我被告知这样还没结束,木马还有一个常用的手段就是替换原系统的程序,有两台服务器装的是一样的系统,使用md5sum /usr/sbin/sshd看了一下,果然已经不是一样的文件了,看来这个sshd已经被串改,很可能还留了后门.把另外一个系统的sshd拷贝过来替换掉,并重启sshd服务,总算问题解决.

这次又是一个教训,我让运维人员拿到服务器就改密码,结果一直偷懒迟迟不做,结果吃了苦头.服务器在外网肯定会受到持续攻击,是要做好加固的工作. 拥有帝国一切,皆有可能。欢迎访问phome.net

拥有帝国一切,皆有可能。欢迎访问phome.net

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号