linux 病毒 sfewfesfs

由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。 于是百度这个病毒:都说该病毒很变态。第一次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒)

1、病毒现象

服务器不停向外网发送数据包,占网络带宽,甚至导致路由器频繁重启。
1) 通过top 或者ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行
2)通过sar -n DEV 就可以看到往外发包的情况。
3)netstat -natlp 可以看到使用哪些端口

2、分析可能原因

曾一度怀疑是安装u盘的问题,安装盘是u盘制作的系统安装引导盘,装入系统之前是格式化了。看了网上的资料,应该不是,U盘的问题。
应该开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。这个服务器又可以通过路由器代理进来,并且登陆密码也不是那么复杂。可能被黑了。
22端口的root权限还是不要开了,no zuo no die,头一次经历linux中毒曾一度以为是很安全的操作系统。

1)先看看被攻击者修改过的:/etc/rc.local文件:

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

这是修改过的内容。
这里可以看到,他启动一系列的进程,并且最后还把防火墙给你关掉了。
那现在好办了。先找到以上对应的所有文件全部删除。

2)删除病毒文件sfewfesfs

进到/etc/ 下面找到与进程对应的文件名 删掉。

sudo chattr -i /etc/sfewfesfs*  
sudo rm -rf /etc/sfewfesfs*

3) 删除.SSH2和.SSHH2

这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。

用ls -al看到.SSH2隐藏文件,删除

rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;
/etc和/tmp可能有.sshdd1401029348隐藏文件 用ls -al看到,删除
sudo rm -rf /tmp/.sshdd140*

4)删除计划任务:

到/var/spool/cron/下面把root 和root.1删掉。
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1
这个时候,病毒程序基本清楚完整了。

5)22端口的root权限还是不要开了:

修改外网映射22端口到XXXX
修改root密码
passwd
关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no

5)重启服务器

转自:http://blog.csdn.net/hguisu/article/details/40652433

原创文章,作者:s19930811,如若转载,请注明出处:http://www.178linux.com/2490

(0)
上一篇 2015-04-03 22:10
下一篇 2015-04-03 22:13

相关推荐

  • vim简单操作

    vim第一讲 光标在屏幕文本中的移动既可以用箭头键,也可以使用 hjkl 字母键。 h (左移) j (下行) k (上行) l (右移) 欲进入 Vim 编辑器(从命令行提示符),请输入:vim 文件名 <回车> 欲退出 Vim 编辑器,请输入 <ESC> :q! <回车> 放弃所有改动。 或者输入 <ESC&gt…

    Linux干货 2017-07-29
  • Linux的学习之路-第一周

    >N21-Keen-第一周作业 ### 1. 计算机的组成及其原理     >计算机的组成是根据冯诺依曼体系设计的,主要分为五大部分:控制器、运算器、存储器、输入设备和输出设备。          >其中控制器和运算器分布在CPU上,主要用来做控制和运算作用。存储器也就是…

    Linux干货 2016-07-16
  • Python内置数据结构——集合set

    集合 定义 set翻译为集合 collection翻译为集合类型,是一个较大的概念 set是一个可变的、无序的、不重复的元素组成的集合 set的元素要求必须可以hash,目前已学的不可hash的类型只有list、set 元素不可以索引 set可以迭代 set的初始化 set_1 =set() #表示定义一个空集合set_1 set_1 =set(iterab…

    Linux干货 2017-10-03
  • 文本处理三剑客之Sed(行编辑器)

    sed(流编辑器,行编辑器)     是一种流编辑器,一次处理一行内容,处理时把当前处理的行存储在临时缓存中,成为“模式空间”,接着用sed命令处理缓冲区的内容,处理完毕后吧缓冲区内容输出到屏幕接着处理下一行。这样不断重复到末尾。文件内容并没有改变。除非使用重定向输出才会改变内容。 sed:行编辑器(全屏编辑器:vi)   &n…

    Linux干货 2016-08-15
  • magedu_20160808

    行编辑器sed与vim文本处理器     一.行编辑器sed的使用介绍     sed英文全称stream editor,行编辑器。其工作模式为将文件中内容按行转移至sed模拟空间中,根据地址判定此行是否匹配,如果匹配,根据命令输出并打印,如果不匹配,按照默认打印到屏幕上。它的作用是根据选项和地址界定‘scr…

    Linux干货 2016-08-10
  • Linux运维实战之2-1:文件管理类命令

    本次博文我们来学习下Linux系统中使用频率比较高的文件管理类命令哈。 主要内容:     1、文件管理的概述;     2、文件管理命令详解; 上次博文,我们学习了Linux的哲学思想,其中之一就是:Linux中一切皆文件。由此,文件管理就是Linux系统的重要功能之一。 一、…

    Linux干货 2016-11-06