环境说明:
1.linux 版本信息
Linux version 2.6.18-308.el5PAE (mockbuild@x86-010.build.bos.redhat.com) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-50)) #1 SMP Fri Jan 27 17:40:09 EST 2012
2.两台服务器安装有双机软件 ,linux版本相同
现象:
用户反映双机软件有问题了,远程连过去奇慢无比,后来他们机房的人员发现这两台服务器异常,拨掉其中一台的网线后,网络恢复正常。
具体检查过程如下:
1.top命令
发现了如下所示的异常进程
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3681 root 18 0 102m 1072 512 S 99.2 0.0 140:04.00 tufei34
2. 下载此文件上传到病毒分析网站进行分析 确认为病毒
http://r.virscan.org/report/5888f36785a5cc5122d5b1083e55f7df
3.ps 命令 查看一下相关的进程 (pstree -p 进程号 查看进程树信息)
ps -ef | grep tufei34
4.查看该进程下打开了哪些文件
lsof -p 3618
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
tufei34 3618 root cwd DIR 104,2 4096 21594182 /etc/rc.d/init.d
tufei34 3618 root rtd DIR 104,2 4096 2 /
tufei34 3618 root txt REG 104,2 1223123 21594129 /etc/tufei34
5.proc 进入相应的文件夹必看的几个文件
cmdline、environ、exe
经过以上的分析大概知道了病毒的工作原理,进行了简单的处理
应该属于ssh入侵,记录相应的账号密码通过邮件发送 /var/spool/mail/ 下有相应的文件里面记录全是账号密码 ,进程启动时,通过SSH连接拷贝执行病毒文件
并长期占有CPU,带宽
1.init.d文件夹
/etc/rc.d/init.d/DbSecuritySpt 中有一运行病毒的指令屏蔽掉
#!/bin/bash
#/etc/tufei34
2.查找病毒执行文件删除
whereis tufei34 或 find / -type f -name tufei34
3. 结束相关进程
killall -g tufei34
4.更改ssh 连接端口 重启sshd服务
vi /etc/ssh/sshd_config
5.两台服务都进行了相关的处理
双机软件投入服务,切换双机并重启备机,测试正常,到目前为止一切正常