小白新手清除billgates(蠕虫病毒)
身为运维小白新手的我在公司深信服防火墙发现内网的服务器(redhat )中了billgates病毒疯狂大量发包(平均每5分钟发包).用iptables防火墙设置限制外发包量处理。iptables -A OUTPUT -o eth0 -m limit --limit1024/sec -j ACCEPTiptables -P OUTPUT DROP
察看启动日志发现非root用户在\etc\init.d自启动目录下创建2个文件dbsecurityspt 和 selinux:非正常程序
察看可疑程序批处理的目录及路径:
通过ps -ef 找到进程pid,然后利用 lsof -p 查看进程打开的所有文件信息,并尝试杀掉进程,并删除这些打开的文件,必须要删除.sshd主程序和getty克隆副程序文件删除后,否则相关联文件还会重新生成。
然后分别清除以下生成的木马病毒文件清除受感染病毒文件: ·rm -rfi/tmp/moni.lod /tmp/gates.lod · rm -rfi /etc/init.d/selinux/etc/init.d/DbSecuritySpt·rm -rfi /etc/rc1.d/S97DbSecuritySpt/etc/rc1.d/S99selinux· rm -rfi /etc/rc2.d/S97DbSecuritySpt/etc/rc2.d/S99selinux· rm -rfi /etc/rc3.d/S97DbSecuritySpt/etc/rc3.d/S99selinux· rm -rfi /etc/rc4.d/S97DbSecuritySpt/etc/rc4.d/S99selinux· rm -rfi /etc/rc5.d/S97DbSecuritySpt/etc/rc5.d/S99selinux· rm -rfi /usr/bin/bsd-port/ /tmp/pythompy重启服务器后,用深信服防火墙及zabbix 察看该服务器 流量等状态正常。billgates僵尸网络木马是一个感染性及隐蔽性极强的病毒,它会创建进程来进行C&C通信、病毒监控等操作,、同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。和rootkill很相似主要利用服务器某个程序的后门植入服务器然当作肉鸡。我是运维新手,以上手动清除描述有错漏不当之处,有请各位大佬见谅。
尊敬的楼主,您觉得此次在redhat中的程序后门是在哪里的呢?是您服务器的服务进程吗?另外,楼主,在感染复杂的情况下,如果我编写shell,相应的关键字有那些呢? @电科信息士,ps -ef|grep .sshd,.sshd文件 是病毒主体,首先要在进程中kill了,其他进程进程随机名不同,主要是自启动/etc/init.d目录下,有selinux等。 {:17_1068:}这么专业还说是小白》? 很6,让我们共同成长,从小白到老司机。{:301_987:} 感谢,先收藏 你这个好意思说自己是小白哦 我是真的小白,大神都是发现可疑进程,可疑文件,我根本找不到什么是可疑文件 居然用的是深信服的引擎,厉害了 小白才依赖用深信服的防火墙引擎,高手才用ZABBIX和BLINDWINDS. 感谢楼主 看到了这个帖子才知道有差距