CentOS中毒了

wienne

真是不敢相信。

CentOS release 5.3 (Final)

這臺服務器在內網(wǎng)，做監(jiān)控平臺使用。
沒有外網(wǎng)IP，但可連外網(wǎng)，前幾天發(fā)現(xiàn)在其他流量達到300M左右，把網(wǎng)絡拖得卡死。

因應用軟件原因必須要禁用SELinux、root密碼也是較容易破解的 passwd、openssl還是2008年的版本。

所以只有升級openssl和openssh到最新版本、修改ssh端口、修改root密碼為復雜字串、禁止root登錄

然后，

然后在這里問問大家，中毒的文件怎么處理？

找源盤文件覆蓋？這些文件在哪個rpm包里��？
找殺毒軟件修復？我估計這項不大可能。

聽聽大家的意見







使用clamav查出以下文件

1. /lib/lib3.so.1: Unix.Trojan.Elknot FOUND
   
2. Scanning /var/www/error/HTTP_NOT_FOUND.html.var
   
3. /var/opt/lm/iisdate: Unix.Trojan.Elknot FOUND
   
4. /usr/sbin/lsof: Unix.Trojan.Elknot FOUND
   
5. /usr/bin/bsd-port/getty: Unix.Trojan.Elknot FOUND
   
6. /usr/bin/.sshd: Unix.Trojan.Elknot FOUND
   
7. /bin/ps: Unix.Trojan.Elknot FOUND
   
8. /bin/netstat: Unix.Trojan.Elknot FOUND
   
9. /bin/.iptab4: Unix.Trojan.Elknot FOUND
   

復制代碼

通過md5計算文件的特征，看來它們都一樣了

1. 
   
2. c0d54e07e3ec9dacc17926edad984470  /lib/lib3.so.1
   
3. c0d54e07e3ec9dacc17926edad984470  /var/opt/lm/iisdate
   
4. c0d54e07e3ec9dacc17926edad984470  /usr/sbin/lsof
   
5. c0d54e07e3ec9dacc17926edad984470  /usr/bin/bsd-port/getty
   
6. c0d54e07e3ec9dacc17926edad984470  /usr/bin/.sshd
   
7. c0d54e07e3ec9dacc17926edad984470  /bin/ps
   
8. c0d54e07e3ec9dacc17926edad984470  /bin/netstat
   
9. c0d54e07e3ec9dacc17926edad984470  /bin/.iptab4
   

復制代碼

再找網(wǎng)站看看其他殺毒軟件怎么說

1. VirSCAN.org Scanned Report :
   
2. Scanned time   : 2014-08-16 15:11:54
   
3. Scanner results: 25%的殺軟(10/39)報告發(fā)現(xiàn)病毒
   
4. File Name      : ps
   
5. File Size      : 1135000 byte
   
6. File Type      : application/x-executable
   
7. MD5            : c0d54e07e3ec9dacc17926edad984470
   
8. SHA1           : 743d06a24d40e1a166449dc433729250615bc2ce
   
9. Online report  : http://r.virscan.org/report/485e4058cf246c7d120da2096e8a4bb9
   
10. 
    
11. Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
    
12. ANTIVIR        1.9.2.0        1.9.159.0         7.11.167.130   32   沒有發(fā)現(xiàn)病毒            
    
13. AVAST!         140815-0       4.7.4             2014-08-15     29   ELF:Elknot-J [Trj]            
    
14. AVG            2109/7541      10.0.1405         2014-08-15     1    沒有發(fā)現(xiàn)病毒            
    
15. ArcaVir        1.0            2011              2014-05-30     9    沒有發(fā)現(xiàn)病毒            
    
16. Authentium     4.6.5          5.3.14            2013-12-01     1    沒有發(fā)現(xiàn)病毒            
    
17. Baidu Antivirus2.0.1.0        4.1.3.52192       2.0.1.0        4    沒有發(fā)現(xiàn)病毒            
    
18. Bitdefender    7.56384        7.90123           2014-08-15     8    沒有發(fā)現(xiàn)病毒            
    
19. ClamAV         19281          0.97.5            2014-08-15     1    沒有發(fā)現(xiàn)病毒            
    
20. Comodo         15023          5.1               2014-08-15     3    沒有發(fā)現(xiàn)病毒            
    
21. Dr.Web         5.0.2.3300     5.0.1.1           2014-08-10     28   Linux.BackDoor.Gates.6        
    
22. F-PROT         4.6.2.117      6.5.1.5418        2014-08-15     2    沒有發(fā)現(xiàn)病毒            
    
23. F-Secure       2014-04-02-01  9.13              2014-04-02     14   沒有發(fā)現(xiàn)病毒            
    
24. Fortinet       22.652, 22.652 5.1.153           2014-08-15     1    ELF/GATES.BA!tr.bdr           
    
25. GData          24.3637        24.3637           2014-08-16     10   ELF:Elknot-AE                 
    
26. IKARUS         1.06.01        V1.32.31.0        2014-08-15     20   沒有發(fā)現(xiàn)病毒            
    
27. NOD32          9809           3.0.21            2014-05-16     1    Linux/Agent.I.Gen trojan      
    
28. QQ手機       1.0.0.0        1.0.0.0           2014-08-16     2    沒有發(fā)現(xiàn)病毒            
    
29. Quickheal      14.00          14.00             2014-08-13     3    Linux.Ganiw.a50a              
    
30. SOPHOS         5.04           3.51.0            2014-08-05     15   Linux/DDoS-BD                 
    
31. Sunbelt        3.9.2595.2     3.9.2595.2        2014-08-14     2    沒有發(fā)現(xiàn)病毒            
    
32. TheHacker      6.8.0.5        6.8.0.5           2014-08-13     1    沒有發(fā)現(xiàn)病毒            
    
33. Vba32          3.12.26.3      3.12.26.3         2014-08-14     3    沒有發(fā)現(xiàn)病毒            
    
34. ViRobot        2.73           2.73              2014-08-14     1    沒有發(fā)現(xiàn)病毒            
    
35. VirusBuster    15.0.878.0     5.5.2.13          2014-08-15     13   沒有發(fā)現(xiàn)病毒            
    
36. a-squared      9.0.0.4157     9.0.0.4157        2014-07-03     3    沒有發(fā)現(xiàn)病毒            
    
37. nProtect       9.9.9          9.9.9             2013-12-27     3    沒有發(fā)現(xiàn)病毒            
    
38. 卡巴斯基   5.5.33         5.5.33            2014-04-01     22   沒有發(fā)現(xiàn)病毒            
    
39. 奇虎360      1.0.1          1.0.1             1.0.1          13   沒有發(fā)現(xiàn)病毒            
    
40. 安博士V3    9.9.9          9.9.9             2013-05-28     5    沒有發(fā)現(xiàn)病毒            
    
41. 安天         054617         AVL140814         2014-08-15     5    沒有發(fā)現(xiàn)病毒            
    
42. 江民殺毒   16.0.100       1.0.0.0           2014-08-13     45   Backdoor/Linux.kg            
    
43. 熊貓衛(wèi)士   9.05.01        9.05.01           2014-08-15     6    沒有發(fā)現(xiàn)病毒            
    
44. 瑞星         25.27.01.04    25.27.01.04       2014-08-12     1    沒有發(fā)現(xiàn)病毒            
    
45. 百度殺毒   1.0            1.0               2014-04-02     1    Backdoor.Linux.Ganiw.a        
    
46. 費爾         17.47.17308    1.0.2.2108        2014-08-15     6    沒有發(fā)現(xiàn)病毒            
    
47. 賽門鐵克   20140814.002   1.3.0.24          2014-08-14     1    Trojan.Chikdos.B!gen2         
    
48. 趨勢科技   10.986.05      9.500-1005        2014-08-15     4    沒有發(fā)現(xiàn)病毒            
    
49. 邁克菲      7520           5400.1158         2014-08-04     9    沒有發(fā)現(xiàn)病毒            
    
50. 金山毒霸   2.1            2.1               2013-09-22     4    沒有發(fā)現(xiàn)病毒            

復制代碼

action08

威武，竟然中毒了

pxczy

是中毒？還是入侵了？是什么文件？

pxczy

你這個應該是直接弱口令登陸的

chenyx

新手原地也有一個,好像和樓主的情況一樣

wienne

大概猜到了

此服務器兩年來很穩(wěn)定，除了我沒其他人員會接觸。

上周客戶的OA應用出了問題，廠家人員到現(xiàn)場來處理過。具體做了哪些操作，不清楚。
前些天客戶發(fā)現(xiàn)只要把OA應用的數(shù)據(jù)庫服務器網(wǎng)線撥掉，網(wǎng)絡就會好。

中毒的時間與外面人員來的時間相吻合。
看來病毒源是從windows平臺來的，只有可能是通過弱口令進入的系統(tǒng)

zzpiggy

找那個外邊來的人，打他一頓，記得多帶幾個幫手，說不定他很能打

wienne

/lib/lib3.so.1            delete file
/var/opt/lm/iisdate       delete上級目錄
/usr/sbin/lsof            ok,reinstall
/usr/bin/bsd-port/getty   delete上級目錄
/usr/bin/.sshd            delete .sshd*
/bin/ps                   ok,reinstall
/bin/netstat              ok,reinstall
/bin/.iptab4              delete file

強制重新安裝以下軟件包，覆蓋被感染文件

net-tools-1.60-78.el5.i386.rpm
procps-3.2.7-11.1.el5.i386.rpm
lsof-4.78-3.i386.rpm

升級openssl（openssl-1.0.1i）和openssh（openssh-6.6p1）到最新版本、
修改sshd端口、修改root密碼為復雜字串、禁止root賬號直接登錄系統(tǒng)

通過網(wǎng)絡交換機配置ACL禁止此服務器訪問外網(wǎng)

以上修改完成后，重新啟動系統(tǒng)
再次全系統(tǒng)掃描未發(fā)現(xiàn)病毒

chenyx

病毒會從windows感染Linux?不會吧.會不會是OA系統(tǒng)帶來的?

wienne

此服務器是運行監(jiān)控系統(tǒng)相關應用，與OA無關聯(lián)。

應該是oa服務器中毒，通過網(wǎng)絡掃描，發(fā)現(xiàn)并猜中密碼，SSH或telnet遠程登錄感染。

最大的安全隱患來自內網(wǎng)，說得真不錯。