linux病毒sfewfesfs

378

• 　　linux病毒sfewfesfs
  
• 　　
  
  
• 
  
• 由于昨天在内网服务器A不小心rm -fr / ，导致服务器A完蛋，重装系统后，不知道啥原因，局域网瘫痪不能上网，最后发现内网服务器A的一个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。 于是百度这个病毒：都说该病毒很变态。第一次中linux病毒，幸亏是内网，感觉比较爽。（总结网络内容，引以为戒）
  1、病毒现象
  服务器不停向外网发送数据包，占网络带宽，甚至导致路由器频繁重启。
  1) 通过top 或者ps -ef 发现名为sfewfesfs的进程还有.sshddXXXXXXXXXXX（一串随机数字）的进程。/etc/下能看到名为sfewfesfs，nhgbhhj等多个奇怪名字的文件。重启后一插网线立即开始执行
  2）通过sar -n DEV 就可以看到往外发包的情况。
  3）netstat -natlp 可以看到使用哪些端口
  2、分析可能原因
  曾一度怀疑是安装u盘的问题，安装盘是u盘制作的系统安装引导盘，装入系统之前是格式化了。看了网上的资料，应该不是，U盘的问题。
  应该开放了服务器的ssh的22端口，并且开放ssh的远程root登陆。这个服务器又可以通过路由器代理进来，并且登陆密码也不是那么复杂。可能被黑了。
  22端口的root权限还是不要开了，no　zuo　no　die，头一次经历linux中毒曾一度以为是很安全的操作系统。
  3、解决办法
  1）先看看被攻击者修改过的：/etc/rc.local文件：
  cd /tmp;./sfewfesfs
  cd /tmp;./gfhjrtfyhuf
  cd /tmp;./rewgtf3er4t
  cd /tmp;./fdsfsfvff
  cd /tmp;./smarvtd
  cd /tmp;./whitptabil
  cd /tmp;./gdmorpen
  cd /etc;./sfewfesfs
  cd /etc;./gfhjrtfyhuf
  cd /etc;./rewgtf3er4t
  cd /etc;./fdsfsfvff
  cd /etc;./smarvtd
  cd /etc;./whitptabil
  cd /etc;./gdmorpen
  cd /tmp;./sfewfesfs
  cd /tmp;./gfhjrtfyhuf
  cd /tmp;./rewgtf3er4t
  cd /tmp;./fdsfsfvff
  cd /tmp;./smarvtd
  cd /tmp;./whitptabil
  cd /tmp;./gdmorpen
  cd /etc;./sfewfesfs
  cd /etc;./gfhjrtfyhuf
  cd /etc;./rewgtf3er4t
  cd /etc;./fdsfsfvff
  cd /etc;./smarvtd
  cd /etc;./whitptabil
  cd /etc;./gdmorpen
  这是修改过的内容。
  这里可以看到，他启动一系列的进程，并且最后还把防火墙给你关掉了。
  那现在好办了。先找到以上对应的所有文件全部删除。
  2）删除病毒文件sfewfesfs
  进到/etc/ 下面找到与进程对应的文件名 删掉。
  
  sudo chattr -i /etc/sfewfesfs*
  sudo rm -rf /etc/sfewfesfs*
  3） 删除.SSH2和.SSHH2
  这个时候还是不行的，因为这程序启动后，会衍生出很多的进程。这个时候，找到/etc/下的.SSH2和.SSHH2删掉。之后找到/tmp/下面所有以.SSH开始的文件，全部删掉。
  用ls -al看到.SSH2隐藏文件，删除
  rm -rf/etc/ SSH2;
  rm -rf/etc/ .SSHH2;
  rm -rf/tmp/.SSH*;
  /etc和/tmp可能有.sshdd1401029348隐藏文件 用ls -al看到，删除
  sudo rm -rf /tmp/.sshdd140*
  4）删除计划任务：
  到/var/spool/cron/下面把root 和root.1删掉。
  sudo rm -rf /var/spool/cron/root
  sudo rm -rf /var/spool/cron/root.1
  这个时候，病毒程序基本清楚完整了。
  5）22端口的root权限还是不要开了：
  修改外网映射22端口到XXXX
  修改root密码
  passwd
  
  关闭root的22权限
  在/etc/ssh/sshd_config文件中找到PermitRootLogin去掉#改成
  PermitRootLogin no
  5）重启服务器