程序员人生 网站导航

linux 病毒 sfewfesfs

栏目:互联网时间:2014-11-18 08:14:27

         由于昨天在内网http://www.wfuyu.com/server/A不谨慎rm -fr / ,致使http://www.wfuyu.com/server/A完蛋,重装系统后,不知道啥缘由,局域网瘫痪不能上网,最后发现内网http://www.wfuyu.com/server/A的1个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。 因而百度这个病毒:都说该病毒很变态。第1次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒)


1、病毒现象

http://www.wfuyu.com/server/不停向外网发送数据包,占网络宽,乃至致使路由器频沉重启。

1) 通过top 或ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(1串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后1插网线立即开始履行

2)通过sar -n DEV 就能够看到往外发包的情况。

3)netstat -natlp 可以看到使用哪些端口


2、分析可能缘由

曾1度怀疑是安装u盘的问题,安装盘是u盘制作的系统安装引导盘,装入系统之前是格式化了。看了网上的资料,应当不是,U盘的问题。

应当开放了http://www.wfuyu.com/server/的ssh的22端口,并且开放ssh的远程root登陆。这个http://www.wfuyu.com/server/又可以通过路由器代理进来,并且登陆密码也不是那末复杂。可能被黑了。

22端口的root权限还是不要开了,no zuo no die,头1次经历linux中毒曾1度以为是很安全的操作系统。

3、解决办法

1)先看看被攻击者修改过的:/etc/rc.local文件:

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

这是修改过的内容。
这里可以看到,他启动1系列的进程,并且最后还把防火墙给你关掉了。
那现在好办了。先找到以上对应的所有文件全部删除。

2)删除病毒文件sfewfesfs

进到/etc/ 下面找到与进程对应的文件名 删掉。

sudo chattr -i /etc/sfewfesfs*  


sudo rm -rf /etc/sfewfesfs*

3) 删除.SSH2和.SSHH2

这个时候还是不行的,由于这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。以后找到/tmp/下面所有以.SSH开始的文件,全部删掉。

用ls -al看到.SSH2隐藏文件,删除


rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;

/etc和/tmp可能有.sshdd1401029348隐藏文件 用ls -al看到,删除
sudo rm -rf /tmp/.sshdd140*


4)删除计划任务:

到/var/spool/cron/下面把root 和root.1删掉。

sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1

这个时候,病毒程序基本清楚完全了。


5)22端口的root权限还是不要开了:

修改外网映照22端口到XXXX
修改root密码
passwd

关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no

5)重启http://www.wfuyu.com/server/




------分隔线----------------------------
------分隔线----------------------------

最新技术推荐