公司环境由于弱口令,又一次中招了。
这次木马不像上次那样简简单单删除了。
一直有个/bin/njKA*** 的进程启动。杀了又有。
试着删了后创建同名文件并且加上i属性:发现问题了:chattr命令不能用。
ll查看chattr权限:000
蛋疼,可执行权限没了。试着加上x,发现权限不够。
用lsattr查看chattr的属性,结果提示lsattr无此命令。
从其他机器copy lsattr命令过来。查看后发现chattr命令被加上了i属性。所以无法修改。
没办法了么?当然不是:我们再copy一个chattr命令过来,重命名为chattr2.
然后用chattr2 -i chattr
这样chattr就可以增加x权限了。当然为了安全起见(万一chattr命令被木马替换了呢),直接删了chattr。然后mv chattr2 chattr.
继续考虑: 木马删了lsattr,说明不想让我们查看文件是否具有i属性。会不会是因为,所有木马文件都具有i属性呢?
按照这个思路, 查找所有具有i属性的文件:
cat /dev/null > scan.log;for tmp in `ls /bin /sbin /usr/bin /usr/sbin`;do lsattr `which $tmp` |grep "-i-" >> scan.log;done
----i--------e- /bin/netstat
----i--------e- /bin/ps
----i--------e- /usr/bin/chattr
----i--------e- /usr/bin/cond
----i--------e- /usr/bin/kauditd
----i--------e- /usr/bin/kswapd
----i--------e- /usr/bin/osx
----i--------e- /usr/bin/scp
----i--------e- /usr/bin/ssh
----i--------e- /usr/bin/strings
----i--------e- /usr/bin/tack
----i--------e- /usr/bin/xfontsel
----i--------e- /usr/bin/zmap
----i--------e- /usr/sbin/lsof
----i--------e- /usr/sbin/ss
----i--------e- /usr/sbin/sshd
这么多程序被加上了i属性。
我对比了下正常环境,这些都是没有i属性的。
所以说,这些命令都被木马替换掉了。
那就全部替换掉。
替换途中提示有些文件在正常环境中不存在:
/usr/bin/cond
/usr/bin/kauditd
/usr/bin/kswapd
/usr/bin/tack
/usr/bin/xfontsel
/usr/bin/zmap
怀疑是木马。删了。
然后ps查看发现有很多kauditd进程: 正常环境中也有,不过都是带中括号的。
类似
[root@localhost ~]# ps aux |grep kaudit
root 555 0.0 0.0 0 0 ? S Jun02 0:29 [kauditd]
root 13606 0.0 0.0 103256 860 pts/5 S+ 12:01 0:00 grep kaudit
杀掉这些命令相关进程。
之后感觉木马基本杀光了。
P.S. 查看进程过程中发现一直有sshd: root [priv]等这样的玩意。一开始以为又是什么木马伪装成sshd,后续google知道
原来是有人在试图用ssh登录机器。如果该进程一直存在,说明有人在暴力破解。
[root@localhost ~]# ps -aux |grep sshd
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQroot 4872 0.0 0.0 86268 3560 ? Ss 12:55 0:00 sshd: root@pts/1
root 7665 0.0 0.0 64416 1216 ? Ss 22:09 0:00 /usr/sbin/sshd
root 11568 0.0 0.0 98196 3968 ? Ss 22:53 0:00 sshd: root@pts/0
root 11575 0.0 0.0 96828 3772 ? Ss 22:53 0:00 sshd: unknown [priv]
sshd 11580 0.0 0.0 65760 1728 ? S 22:53 0:00 sshd: unknown [net]
root 11583 0.4 0.0 97200 4204 ? Ss 22:53 0:00 sshd: root [priv]
sshd 11585 0.0 0.0 65760 1632 ? S 22:53 0:00 sshd: root [net]