首先登录系统,通过top命令检查系统整体情况

抓鸡直播截图(蚂蚁老师实操课)_第1张图片

发现第一个进程占用很大cpu资源,肯定有问题

从文件名看出,这不像是一个正常的系统进程

过进程id判断出执行文件的位置,操作如下:

抓鸡直播截图(蚂蚁老师实操课)_第2张图片


进一步查看/usr/bin下的文件信息

抓鸡直播截图(蚂蚁老师实操课)_第3张图片

看第一个文件,非常异常,主要看文件属性


继续通过ps命令查看系统进程,发现

抓鸡直播截图(蚂蚁老师实操课)_第4张图片

看加壳程序

/usr/bin/dpkgd/ps -ef

wKioL1brprHjHW2PAAAlYkaM9vk039.png

看到了吗,这些都是加壳伪装的命令

ps命令看到的其实已经是假象了

然后在看看crontab是否有守护进程信息

wKioL1brprHSJoDKAAAgRQtdW4A079.png

发现有异样,看那个kill.sh进程,每3分钟执行一次

询问后得知这个不是人为设置的守护进程

抓鸡直播截图(蚂蚁老师实操课)_第5张图片

抓内容看看:


wKiom1brpiLgcR4zAAAlHjdOFmE679.png



看到内容了吗,大家应该能看懂


一个简单的shell

抓网卡,然后设置up状态,所以即使你down了网卡,他也能自动启动

续看看dmesg信息


抓鸡直播截图(蚂蚁老师实操课)_第6张图片

这是内核队列过大,肉鸡发包导致连接队列沾满爆出的信息


一个开发机器,不可能有这么大流量的

基本信息就是这样


那么下来就开始杀这些***了

先rm .sshd文件

然后

抓鸡直播截图(蚂蚁老师实操课)_第7张图片

接着删除这个加壳目录下面的东西


抓鸡直播截图(蚂蚁老师实操课)_第8张图片

我这里暂时没删除,更改了路径

这样操作后,发现ps命令不能用了

不要紧,难不倒我们

重新安装ps命令即可,通过yum


怎么查ps是哪个包,基础命令很重要

wKiom1brpiPziBzmAAAgAQi4qFs064.png


好了,安装完成了,再次ps -ef

发现不一样了,跟之前显示进程的方式不一样了,因为现在的才是真的系统状态


 先kill掉这个pid,然后删除之前crontab里面的kill.sh文件

抓鸡直播截图(蚂蚁老师实操课)_第9张图片

看来kill方法不行,有守护进程,只要进程被关闭,就自动重启了
【博士】南非蚂 2016/3/18 15:02:30

那么我来个这样的命令
【博士】南非蚂 2016/3/18 15:02:45

kill -STOP 4440
【博士】南非蚂 2016/3/18 15:03:21

是不是不再出来了
【博士】南非蚂 2016/3/18 15:03:28

然后继续观察这个脚本
【博士】南非蚂 2016/3/18 15:03:30

抓鸡直播截图(蚂蚁老师实操课)_第10张图片【博士】南非蚂 2016/3/18 15:03:56

其实罪魁祸首在这里cp /lib/libkill.so /lib/libkill.so.6




 【博士】南非蚂 2016/3/18 15:05:08

现在世界清静了抓鸡直播截图(蚂蚁老师实操课)_第11张图片【博士】南非蚂 2016/3/18 15:05:16

但是问题还远远没有结束


 【博士】南非蚂 2016/3/18 15:06:59

下面开始做收尾工作,清除后门

 【博士】南非蚂 2016/3/18 15:09:59

先通过chartt +i 锁定下/etc/crontab文件

 【博士】南非蚂 2016/3/18 15:11:06

接着查找最近生成的可疑文件,然后删除之

抓鸡直播截图(蚂蚁老师实操课)_第12张图片

 【博士】南非蚂 2016/3/18 15:11:20

注意这个命令的用法
【博士】南非蚂 2016/3/18 15:11:31

通过输出可以看到那些是可疑进程

 【博士】南非蚂 2016/3/18 15:12:56

在删除的过程中发现一个很有意思的问题

wKioL1brqzXz1UfaAAAdSbeDNyU658.png


 【博士】南非蚂蚁
看看这个指向到了那里
15:15:23
【博士】南非蚂 2016/3/18 15:15:23

很明显,这些文件和指向的文件都一并删除
【博士】南非蚂 2016/3/18 15:17:18

当然,这个也不能留

wKiom1brrO7hEdO_AAAgjJ_HIJ8065.png

 【博士】南非蚂 2016/3/18 15:17:23


wKiom1brrUCRiZ6qAAASSlBO724854.png

 【博士】南非蚂 2016/3/18 15:22:25

/usr/bin下面绝对不能放过可疑文件
【博士】南非蚂 2016/3/18 15:22:31

查找最新文件即可
【博士】南非蚂 2016/3/18 15:23:51

所哟可以文件删除完成,执行最后一个命令
【博士】南非蚂 2016/3/18 15:23:58

kill -9 4440
【博士】南非蚂 2016/3/18 15:24:11

刚才最后的一个***文件

wKiom1brrXiDRDUkAAAe5iKBkxc246.png

 【博士】南非蚂 2016/3/18 15:26:12

现在在看看是否还会产生新的文件呢,在 

抓鸡直播截图(蚂蚁老师实操课)_第13张图片

 【博士】南非蚂 2016/3/18 15:26:29

它回不来了

抓鸡直播截图(蚂蚁老师实操课)_第14张图片

现在世界清静了


 注:时2016/03/18现场摘录成此博文,多谢蚂蚁老师细心的讲解,也希望浏览过的博友留下宝贵的意见,有问题及时提,时间仓促,没来得及修整,授人以鱼不如授人以渔。多注意下思路,希望此博文对还在路上的你们带来吉兆。


如果您希望以后可以永远保持一颗进取得心

Linux技术交流探讨群 326916393

期待您的光临,让知识汇聚为最有力量的源泉,

让未来渐行渐远。


希望我们永远不要自己骗自己。

  做技术不可耻。。。。。。