文档介绍:Linux下随机10字符病毒清除
Linux有也病毒?
早在1996年,澳大利亚一个名为"VLAD"的组织便发布了Linux系统下的第一个使用汇编语言编写的"Staog"病毒。Staog病毒并不会对系统有什么实质性的损坏,它应该算是一个演示版,它向人们揭示了Linux可能被病毒感染的潜在危险。Linux系统上第二个被发现的病毒是"Bliss"病毒,它更象是一个实验性病毒。它有个一个特点,本身带有免疫程序,只要在运行该程序时加上"disinfect-files-please"选项,即可恢复系统,因此其实验的成分更多些。
也许刚开始的时候,Linux病毒侧重于向人们传达一种声音,接下来就没有那么幸运了,2001年爆发的Ramen病毒,便具有了无须干预、自动传播的功能,这一点与早期的Morris蠕虫很相似,-FTP漏洞感染Linux系统,由此可见,对Linux的系统或软件的漏洞都不可掉以轻心。而如果很早就使用Linux系统的朋友,也许对2001年大规模爆发的"狮子"病毒还记忆犹新,严格的说,它是一种可以通过网络迅速传播的蠕虫病毒,它可以通过电子邮件把密码和配置文件发送到制定的域名,攻击者根据发回的文件突破整个系统,更恐怖的是,中了"狮子"病毒的机器会在网上搜索别的受害者。
虽然从第一个Linux病毒的发现至今,Linux平台下的病毒种类远没有Windows的庞大,其主要病毒威胁来自于Slapper、Scalper、 、BoxPoison、 、,然而随着Linux用户的增多以及病毒利益化的趋势,新的病毒将不断出现,因此使用Linux平台时,需要对Linux下各种病毒以及系统自身有一定的了解,不然,在与病毒的较量中会很难取胜的。
一、什么是随机10字符病毒
病毒表现:
网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首。杀死该进程后,会再随机产生一个新的进程。
二、查找步骤
/proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令,混淆管理员眼光查询线索,核验这一个,可以尝试把who等不常见的命令禁用执行权限,但随后却会发现该命令不停地出现在ps -Af里面:
gnome-terminal
ls -a
route -n
netstat -antop
fconfig
sh
cd /etc
bash
who
cat
ps -ef
cat
由于大量的流量,先用iptables封住该IP,tcp连接不上后,它会改用udp向外发送,发送不出去后会进入监听状态,端口可以见下面的lsof结果。
三、ps -AfH,显示为以上的命令,但是ppid(父id)为1,则为init,所以这个应该是跟某个服务相关的。
用pstree可以看到真实的名字:
四、在crontab的log里面,.sh,经查找,是在/etc/:
从这个地方可以看到病毒本体:/lib/,这个文件看起来应该是一个库文件,但是用file查看,这个文件则为一个可执行文件,请注意下面的两个文件,一个为executable(可执行的),另一个则为正常的共享库(shared object):
正常的库文件应该为:
把这个文件取消可执行权限,但是病毒故障依旧。
因为这个病毒不断自我启动,并且父进程号为1,所以应该和init有关,所以查看/etc/,发现里面果然有启动项,删除之。在/etc//里面,也有类似的好几个启动项,一并删除。
删除后,发现仍然不能杀死,杀死后马上重建一个新的,用lsof 查看: