亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標題: CentOS中毒了 [打印本頁]
作者: wienne    時間: 2014-08-16 17:49
標題: CentOS中毒了
本帖最后由 wienne 于 2014-08-16 17:50 編輯

真是不敢相信。

CentOS release 5.3 (Final)

這臺服務器在內網,做監(jiān)控平臺使用。
沒有外網IP,但可連外網,前幾天發(fā)現(xiàn)在其他流量達到300M左右,把網絡拖得卡死。

因應用軟件原因必須要禁用SELinux、root密碼也是較容易破解的 passwd、openssl還是2008年的版本。

所以只有升級openssl和openssh到最新版本、修改ssh端口、修改root密碼為復雜字串、禁止root登錄

然后,

然后在這里問問大家,中毒的文件怎么處理?

找源盤文件覆蓋?這些文件在哪個rpm包里啊?
找殺毒軟件修復?我估計這項不大可能。

聽聽大家的意見







使用clamav查出以下文件
  1. /lib/lib3.so.1: Unix.Trojan.Elknot FOUND
  2. Scanning /var/www/error/HTTP_NOT_FOUND.html.var
  3. /var/opt/lm/iisdate: Unix.Trojan.Elknot FOUND
  4. /usr/sbin/lsof: Unix.Trojan.Elknot FOUND
  5. /usr/bin/bsd-port/getty: Unix.Trojan.Elknot FOUND
  6. /usr/bin/.sshd: Unix.Trojan.Elknot FOUND
  7. /bin/ps: Unix.Trojan.Elknot FOUND
  8. /bin/netstat: Unix.Trojan.Elknot FOUND
  9. /bin/.iptab4: Unix.Trojan.Elknot FOUND
復制代碼
通過md5計算文件的特征,看來它們都一樣了

  2. c0d54e07e3ec9dacc17926edad984470  /lib/lib3.so.1
  3. c0d54e07e3ec9dacc17926edad984470  /var/opt/lm/iisdate
  4. c0d54e07e3ec9dacc17926edad984470  /usr/sbin/lsof
  5. c0d54e07e3ec9dacc17926edad984470  /usr/bin/bsd-port/getty
  6. c0d54e07e3ec9dacc17926edad984470  /usr/bin/.sshd
  7. c0d54e07e3ec9dacc17926edad984470  /bin/ps
  8. c0d54e07e3ec9dacc17926edad984470  /bin/netstat
  9. c0d54e07e3ec9dacc17926edad984470  /bin/.iptab4
復制代碼
再找網站看看其他殺毒軟件怎么說
  1. VirSCAN.org Scanned Report :
  2. Scanned time   : 2014-08-16 15:11:54
  3. Scanner results: 25%的殺軟(10/39)報告發(fā)現(xiàn)病毒
  4. File Name      : ps
  5. File Size      : 1135000 byte
  6. File Type      : application/x-executable
  7. MD5            : c0d54e07e3ec9dacc17926edad984470
  8. SHA1           : 743d06a24d40e1a166449dc433729250615bc2ce
  9. Online report  : http://r.virscan.org/report/485e4058cf246c7d120da2096e8a4bb9

  11. Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
  12. ANTIVIR        1.9.2.0        1.9.159.0         7.11.167.130   32   沒有發(fā)現(xiàn)病毒            
  13. AVAST!         140815-0       4.7.4             2014-08-15     29   ELF:Elknot-J [Trj]            
  14. AVG            2109/7541      10.0.1405         2014-08-15     1    沒有發(fā)現(xiàn)病毒            
  15. ArcaVir        1.0            2011              2014-05-30     9    沒有發(fā)現(xiàn)病毒            
  16. Authentium     4.6.5          5.3.14            2013-12-01     1    沒有發(fā)現(xiàn)病毒            
  17. Baidu Antivirus2.0.1.0        4.1.3.52192       2.0.1.0        4    沒有發(fā)現(xiàn)病毒            
  18. Bitdefender    7.56384        7.90123           2014-08-15     8    沒有發(fā)現(xiàn)病毒            
  19. ClamAV         19281          0.97.5            2014-08-15     1    沒有發(fā)現(xiàn)病毒            
  20. Comodo         15023          5.1               2014-08-15     3    沒有發(fā)現(xiàn)病毒            
  21. Dr.Web         5.0.2.3300     5.0.1.1           2014-08-10     28   Linux.BackDoor.Gates.6        
  22. F-PROT         4.6.2.117      6.5.1.5418        2014-08-15     2    沒有發(fā)現(xiàn)病毒            
  23. F-Secure       2014-04-02-01  9.13              2014-04-02     14   沒有發(fā)現(xiàn)病毒            
  24. Fortinet       22.652, 22.652 5.1.153           2014-08-15     1    ELF/GATES.BA!tr.bdr           
  25. GData          24.3637        24.3637           2014-08-16     10   ELF:Elknot-AE                 
  26. IKARUS         1.06.01        V1.32.31.0        2014-08-15     20   沒有發(fā)現(xiàn)病毒            
  27. NOD32          9809           3.0.21            2014-05-16     1    Linux/Agent.I.Gen trojan      
  28. QQ手機       1.0.0.0        1.0.0.0           2014-08-16     2    沒有發(fā)現(xiàn)病毒            
  29. Quickheal      14.00          14.00             2014-08-13     3    Linux.Ganiw.a50a              
  30. SOPHOS         5.04           3.51.0            2014-08-05     15   Linux/DDoS-BD                 
  31. Sunbelt        3.9.2595.2     3.9.2595.2        2014-08-14     2    沒有發(fā)現(xiàn)病毒            
  32. TheHacker      6.8.0.5        6.8.0.5           2014-08-13     1    沒有發(fā)現(xiàn)病毒            
  33. Vba32          3.12.26.3      3.12.26.3         2014-08-14     3    沒有發(fā)現(xiàn)病毒            
  34. ViRobot        2.73           2.73              2014-08-14     1    沒有發(fā)現(xiàn)病毒            
  35. VirusBuster    15.0.878.0     5.5.2.13          2014-08-15     13   沒有發(fā)現(xiàn)病毒            
  36. a-squared      9.0.0.4157     9.0.0.4157        2014-07-03     3    沒有發(fā)現(xiàn)病毒            
  37. nProtect       9.9.9          9.9.9             2013-12-27     3    沒有發(fā)現(xiàn)病毒            
  38. 卡巴斯基   5.5.33         5.5.33            2014-04-01     22   沒有發(fā)現(xiàn)病毒            
  39. 奇虎360      1.0.1          1.0.1             1.0.1          13   沒有發(fā)現(xiàn)病毒            
  40. 安博士V3    9.9.9          9.9.9             2013-05-28     5    沒有發(fā)現(xiàn)病毒            
  41. 安天         054617         AVL140814         2014-08-15     5    沒有發(fā)現(xiàn)病毒            
  42. 江民殺毒   16.0.100       1.0.0.0           2014-08-13     45   Backdoor/Linux.kg            
  43. 熊貓衛(wèi)士   9.05.01        9.05.01           2014-08-15     6    沒有發(fā)現(xiàn)病毒            
  44. 瑞星         25.27.01.04    25.27.01.04       2014-08-12     1    沒有發(fā)現(xiàn)病毒            
  45. 百度殺毒   1.0            1.0               2014-04-02     1    Backdoor.Linux.Ganiw.a        
  46. 費爾         17.47.17308    1.0.2.2108        2014-08-15     6    沒有發(fā)現(xiàn)病毒            
  47. 賽門鐵克   20140814.002   1.3.0.24          2014-08-14     1    Trojan.Chikdos.B!gen2         
  48. 趨勢科技   10.986.05      9.500-1005        2014-08-15     4    沒有發(fā)現(xiàn)病毒            
  49. 邁克菲      7520           5400.1158         2014-08-04     9    沒有發(fā)現(xiàn)病毒            
  50. 金山毒霸   2.1            2.1               2013-09-22     4    沒有發(fā)現(xiàn)病毒            
復制代碼
作者: action08    時間: 2014-08-16 17:54
威武,竟然中毒了
作者: pxczy    時間: 2014-08-16 19:41
是中毒?還是入侵了?是什么文件?
作者: pxczy    時間: 2014-08-16 19:42
你這個應該是直接弱口令登陸的
作者: chenyx    時間: 2014-08-16 21:27
新手原地也有一個,好像和樓主的情況一樣
作者: wienne    時間: 2014-08-17 23:21
大概猜到了

此服務器兩年來很穩(wěn)定,除了我沒其他人員會接觸。

上周客戶的OA應用出了問題,廠家人員到現(xiàn)場來處理過。具體做了哪些操作,不清楚。
前些天客戶發(fā)現(xiàn)只要把OA應用的數(shù)據(jù)庫服務器網線撥掉,網絡就會好。

中毒的時間與外面人員來的時間相吻合。
看來病毒源是從windows平臺來的,只有可能是通過弱口令進入的系統(tǒng)
作者: zzpiggy    時間: 2014-08-18 08:39
找那個外邊來的人,打他一頓,記得多帶幾個幫手,說不定他很能打
作者: wienne    時間: 2014-08-18 14:13
/lib/lib3.so.1            delete file
/var/opt/lm/iisdate       delete上級目錄
/usr/sbin/lsof            ok,reinstall
/usr/bin/bsd-port/getty   delete上級目錄
/usr/bin/.sshd            delete .sshd*
/bin/ps                   ok,reinstall
/bin/netstat              ok,reinstall
/bin/.iptab4              delete file

強制重新安裝以下軟件包,覆蓋被感染文件

net-tools-1.60-78.el5.i386.rpm
procps-3.2.7-11.1.el5.i386.rpm
lsof-4.78-3.i386.rpm

升級openssl(openssl-1.0.1i)和openssh(openssh-6.6p1)到最新版本、
修改sshd端口、修改root密碼為復雜字串、禁止root賬號直接登錄系統(tǒng)

通過網絡交換機配置ACL禁止此服務器訪問外網

以上修改完成后,重新啟動系統(tǒng)
再次全系統(tǒng)掃描未發(fā)現(xiàn)病毒

作者: chenyx    時間: 2014-08-18 14:37
病毒會從windows感染Linux?不會吧.會不會是OA系統(tǒng)帶來的?
作者: wienne    時間: 2014-08-18 21:18
此服務器是運行監(jiān)控系統(tǒng)相關應用,與OA無關聯(lián)。

應該是oa服務器中毒,通過網絡掃描,發(fā)現(xiàn)并猜中密碼,SSH或telnet遠程登錄感染。

最大的安全隱患來自內網,說得真不錯。
作者: chenyx    時間: 2014-08-18 21:31
如果是這樣,那你的OA系統(tǒng)豈不是毒庫?還不趕緊處理下?
作者: wienne    時間: 2014-08-18 21:40
windows平臺中毒如家常便飯,
況且那是別家公司的維護范圍,我是非到萬不得已不能出馬滴。
沾手就是事。
作者: chenyx    時間: 2014-08-18 22:27
事不關己高高掛起?
作者: pandu    時間: 2014-08-19 08:37
可以善意的提醒一下下,呵呵
作者: aaringend    時間: 2014-08-19 16:01
這都可以。。
作者: action08    時間: 2014-08-25 21:29
root密碼也是較容易破解的


這個就完蛋了,至于中毒后怎么處理,我也不知道哦。
處理經驗不足,也沒有能力做逆向分析



歡迎光臨 Chinaunix (http://www.72891.cn/) Powered by Discuz! X3.2