-bash这样的木马，你遇到过没?

第一次遇到如此难搞的病毒木马-bash。

# cat /etc/redhat-release 
CentOS release 6.7 (Final)
# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

进程和文件清除后，总是会自动起来，然后占用50%的CPU

netstat-ano|more

 

处理思路：

• top查看cpu进程最高的
• 然后lsof -p 进程号，确认是否有可疑关联请求
• 检查crontab -l确认是否有异常定时任务，并进入/var/spool/cron下确认查看
• 检查密码文件/etc/passwd查看是否有异常用户和组
• 检查网络ip是否有异常连接netstat -ano|more

用到的命令：

netstat -ano

find / -name bash

sar 1 10

top

ps -ef|grep curl

lsof -p 进程号 ，可以看关联了哪些进程及和那里通信，这里看到会去请求这个外部地址：

vps-57ca5d6a.vps.ovh.net

 

查看crontab –l没有发现任何脚本。尝试进入cron目录：

发现存在/var/spool/cron/x这个名字的任务，

竟然在crontab看不到，被隐藏了。

根据x中内容再去查看关联了哪些目录和文件，深入查看。最后逐个删除掉。

需要删掉用户x/组/家目录/x

/var/tmp下的文件

/tmp下的文件

想办法彻底清除。

但由于/var/tmp

/tmp

/etc下很多文件无法删除，导致木马进程总是会被唤起，去连接外部网络。

mv curl curl.bak去掉这个下载的命令

所以尝试添加/etc/hosts如下内容，骗过木马。

127.0.0.1       pw.pwndns.pw           

127.0.0.1       vps-57ca5d6a.vps.ovh.net

加上上述内容后，kill进程，-bash没再起来，cpu一直保存正常。

另外也可以考虑在防火墙禁止源地址请求上述ip。后续需升级加固openssh以及不暴露在公网。

综上，只是取了巧，没有根本解决，那些改不了权限的文件和目录只能在单用户下试试能不能删除之类？？？还得研究下....

这种r--r--r--的权限怎么搞？？？root无权限删除和修改操作。

cd /etc/