记一次Linux系统被入侵的排查过程（二）

上文说到Linux系统被rootkit了，我们继续探究事情的真相。

1、删除程序重启系统

我以迅雷不及掩耳之势暴力删除了所有6天前的程序，并强制断电虚拟机，重启。

find /bin -mtime -6 -type f | xargs rm -f
find /usr/bin -mtime -6 -type f | xargs rm -f
find /usr/sbin -mtime -6 -type f | xargs rm -f
find /sbin -mtime -6 -type f | xargs rm -f

不幸的是，系统重启后，程序还是好端端的运行起来了，似乎在像我宣战，我宣你妹！。

看来它还有启动项，不错嘛，来，老子分分钟把你找出来：

[root@localhost opt]# find /etc/rc.d/ -mtime -6 ! -type d
/etc/rc.d/rc1.d/S90zidrfiepwemdqj
/etc/rc.d/rc1.d/S90etwelnhtvu
/etc/rc.d/rc4.d/S90zidrfiepwemdqj
/etc/rc.d/rc4.d/S90etwelnhtvu
/etc/rc.d/rc5.d/S90zidrfiepwemdqj
/etc/rc.d/rc5.d/S90etwelnhtvu
/etc/rc.d/init.d/zidrfiepwemdqj
/etc/rc.d/rc3.d/S90zidrfiepwemdqj
/etc/rc.d/rc3.d/S90etwelnhtvu
/etc/rc.d/rc6.d/K90etwelnhtvu
/etc/rc.d/rc2.d/S90zidrfiepwemdqj
/etc/rc.d/rc2.d/S90etwelnhtvu
/etc/rc.d/rc0.d/K90etwelnhtvu

好家伙，这么多，所有运行级别都设置了启动项。

继续再来一次删除，暴力重启：

find /bin -mtime -6 -type f | xargs rm -f
find /usr/bin -mtime -6 -type f | xargs rm -f
find /usr/sbin -mtime -6 -type f | xargs rm -f
find /sbin -mtime -6 -type f | xargs rm -f
find /etc/rc.d/ -mtime -6 ! -type d | xargs rm -f

重启完后，用top指令查看，CPU使用也不高了，哈哈，居然就这样被干掉了？我还在想你是不是会在系统常用命令中，如ls  ps 中隐藏启动进程，一旦执行又会拉起木马程序呢

再查看下系统中是否创建了除root以外的管理员账号：

awk -F: '{if(3 == 0) print 1}' /etc/passwd

结果发现只输入了root这一个用户，说明系统用户是正常的。

其实，当系统被感染rootkit后，系统已经变得不可靠了，唯一的办法就是重装系统了。在这里，作为一名向往白帽hacker的果哥，我们还是演示下如何修复下其命令程序，我的系统是CentOS 6.8：

基本思想：我们找出常用命令所在的rpm包，然后强制删除之，再通过本地yum源进程安装

[root@localhost ~]# rpm -qf /bin/ps
procps-3.2.8-36.el6.x86_64
[root@localhost ~]# rpm -qf /bin/ls
coreutils-8.4-43.el6.x86_64
[root@localhost ~]# rpm -qf /bin/netstat
net-tools-1.60-110.el6_2.x86_64
[root@localhost ~]# rpm -qf /usr/bin/pstree
psmisc-22.6-19.el6_5.x86_64
#然后依次删除之，再重新安装：
rpm -e --nodeps procps
rpm -e --nodeps coreutils
rpm -e --nodeps net-tools
rpm -e --nodeps psmisc
yum install -y procps coreutils net-tools psmisc

好了，再重启下系统看看。

总结

其实到这里，我们仅仅是通过一些简单的命令和对系统的掌握情况进行了问题定位和排除，我们还没有对系统日志/var/log/messages /var/log/secure进行排查，hacker就已经投降了。

所以遇到问题并不可怕，可怕的是我们没有一颗敢于去解决问题的心，其次，等到问题发生了，再学习可就晚了，不要忘了每天学习积累经验哦，也许哪天你就用上了呢 Good good study,day day up!

最后献上中了木马的虚拟机，下载地址：https://yunpan.cn/cBszaTyM4jZ6T  访问密码 3bf9   root密码123456  在病毒未清除前，别乱联网哦，否则后果自负