linux木马清理（教程2）

一、背景
查看有台服务器流量跑的很高，流量达到了800Mbps，第一感觉应该是中木马了，被人当做肉鸡了，在大量发包，趁这次机会把发现过程记录一下。

 

二、发现并追踪处理

1、查看流量图发现问题

查看的时候网页非常卡，有的时候甚至没有响应。

2、top动态查看进程

 我马上远程登录出问题的服务器，远程操作很卡，网卡出去的流量非常大，通过top发现了一个异常的进程占用资源比较高，名字不仔细看还真以为是一个Web服务进程。

3、ps命令查看进程的路径

发现这个程序文件在/etc目录下面，是个二进制程序。

4、结束异常进程并继续追踪

killall -9 nginx1
rm -f /etc/nginx1

干掉进程之后，流量立刻下来了，远程也不卡顿了，难道删掉程序文件？想想也肯定没那么简单的，这个是木马，肯定还会自己生成程序文件，我们得继续追查。
 

5、查看登录记录及日志文件secure

通过命令last查看账户登录记录，一切正常。查看系统文件message并没有发现什么，但是当我查看secure文件的时候发现有些异常，反正是和认证有关的，应该是尝试连进来控制发包。

 

6、再次ps查看进程

其实第一次ps的时候就有这个问题，那时候没有发现，第二次是查看每个进程，自习寻找不太正常的进程，发现了一个奇怪的ps进程。

我找了一台正常的机器，查看了一下ps命令的大小，正常的大约是81KB，然后这台机器上面的ps却高达1.2M，命令文件肯定是被替换了。

然后进入另一个ps的目录，看到有如下几个命令，然后我有查询了一下系统的这几个命令，发现都变得很大，都达到了1.2M，这些系统命令文件肯定是都被替换了。

7、更多异常文件的发现

   查看定时任务文件crontab并没有发现什么一次，然后查看系统启动文件rc.local，也没有什么异常，然后进入/etc/init.d目录查看，发现比较奇怪的脚本文件DbSecuritySpt、selinux。

第一个文件可以看出他就是开机启动那个异常文件的，第二个应该和登录有关，具体不是很清楚，反正肯定是有问题的。

既然和登录有关，那就找和ssh相关的，找到了下面的一个文件，是隐藏文件，这个也是木马文件，我们先记录下来，这样程序名字都和我们的服务名字很相近，就是为了迷惑我们，他们的大小都是1.2M，他们有可能是一个文件。

我有看了一下木马喜欢出现的目录/tmp，也发现了异常文件，从名字上感觉好像是监控木马程序的。

想到这里，替换的命令应该很多，单靠我们去找肯定是解决不了的，我的建议最好是重装操作系统，并做好安全策略，如果不重装，下面给一下我的方法，具体有待验证。

 

三、木马手动清除

现在综合总结了大概步骤如下：

1、简单判断有无木马

2、上传如下命令到/root下

ps netstat ss lsof

3、删除如下目录及文件ps netstat ss lsof

4、找出异常程序并杀死

5、删除含木马命令并重新安装(或者把上传的正常程序复制过去也行)

    我自己重新安装好像不行，我是找的正常的机器复制的命令。

四、杀毒工具扫描

1、安装杀毒工具clamav
yum install clamav clamav-milter -y

2、启动服务
service clamd restart

3、更新病毒库service clamd restart
由于ClamAV不是最新版本，所以有告警信息。可以忽略或升级最新版本。

4、扫描方法

 可以使用clamscan -h查看相应的帮助信息

5、查看日志发现

把发现的命令删掉替换正常的