吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 22789|回复: 44
收起左侧

[分享] 小白新手清除billgates(蠕虫病毒)

  [复制链接]
zjlzhok 发表于 2018-11-15 12:26
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
身为运维小白新手的我在公司深信服防火墙发现内网的服务器(redhat )中了billgates病毒疯狂大量发包(平均每5分钟发包).


VIRUS.png

iptables防火墙设置限制外发包量处理iptables -A OUTPUT -o eth0 -m limit --limit1024/sec -j ACCEPTiptables -P OUTPUT DROP
察看启动日志发现非root用户在\etc\init.d自启动目录下创建2个文件dbsecurityspt selinux:非正常程序 virus2.png
察看可疑程序批处理的目录及路径: virus3.png
通过ps -ef 找到进程pid,然后利用 lsof -p 查看进程打开的所有文件信息,并尝试杀掉进程,并删除这些打开的文件,必须要删除.sshd主程序和getty克隆副程序文件删除后,否则相关联文件还会重新生成。 virus5.png
然后分别清除以下生成的木马病毒文件清除受感染病毒文件: ·rm -rfi/tmp/moni.lod /tmp/gates.lod · rm -rfi /etc/init.d/selinux/etc/init.d/DbSecuritySpt·rm -rfi /etc/rc1.d/S97DbSecuritySpt/etc/rc1.d/S99selinux· rm -rfi /etc/rc2.d/S97DbSecuritySpt/etc/rc2.d/S99selinux· rm -rfi /etc/rc3.d/S97DbSecuritySpt/etc/rc3.d/S99selinux· rm -rfi /etc/rc4.d/S97DbSecuritySpt/etc/rc4.d/S99selinux· rm -rfi /etc/rc5.d/S97DbSecuritySpt/etc/rc5.d/S99selinux· rm -rfi /usr/bin/bsd-port/ /tmp/pythompy重启服务器后,用深信服防火墙及zabbix 察看该服务器 流量等状态正常。billgates僵尸网络木马是一个感染性及隐蔽性极强的病毒,它会创建进程来进行C&C通信、病毒监控等操作,、同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。和rootkill很相似主要利用服务器某个程序的后门植入服务器然当作肉鸡。我是运维新手,以上手动清除描述有错漏不当之处,有请各位大佬见谅。





免费评分

参与人数 6吾爱币 +4 热心值 +6 收起 理由
Mathilda + 1 + 1 谢谢@Thanks!
italomusic + 1 我很赞同!
siuhoapdou + 1 + 1 谢谢@Thanks!
玉生烟 + 1 + 1 我很赞同!
逍遥天机星 + 1 看起来很吊的样子,我也要看看!
ddw9988 + 1 + 1 我很赞同!我很赞同! 热心回复! 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

电科信息士 发表于 2018-11-25 20:51
尊敬的楼主,您觉得此次在redhat中的程序后门是在哪里的呢?是您服务器的服务进程吗?另外,楼主,在感染复杂的情况下,如果我编写shell,相应的关键字有那些呢?
 楼主| zjlzhok 发表于 2018-11-26 08:46
@电科信息士,ps -ef|grep .sshd,.sshd文件 是病毒主体,首先要在进程中kill了,其他进程进程随机名不同,主要是自启动/etc/init.d目录下,有selinux等。
bedboy333333 发表于 2018-11-15 16:19
China菜鸟 发表于 2018-11-15 16:19
很6,让我们共同成长,从小白到老司机。
xiaoyouguang 发表于 2018-11-15 16:21
感谢,先收藏
俺是大绅士 发表于 2018-11-15 16:30
你这个好意思说自己是小白哦
lpy6759 发表于 2018-11-15 16:31
我是真的小白,大神都是发现可疑进程,可疑文件,我根本找不到什么是可疑文件
fanai 发表于 2018-11-15 17:55
居然用的是深信服的引擎,厉害了
 楼主| zjlzhok 发表于 2018-11-15 17:59
小白才依赖用深信服的防火墙引擎,高手才用ZABBIX和BLINDWINDS.
15230916103 发表于 2018-11-15 21:16
感谢楼主
x65flasher 发表于 2018-11-15 21:34
看到了这个帖子才知道有差距
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:45

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表