记一次Linux系统被入侵的排查过程（二）

浏览：1559次阅读

共计 2079 个字符，预计需要花费 6 分钟才能阅读完成。

文章目录

我以迅雷不及掩耳之势暴力删除了所有 6 天前的程序，并强制断电虚拟机，重启。find /bin -mtime -6 -type f | xargs rm -f
find /usr/bin -mtime -6 -type f | xargs rm -f
find /usr/sbin -mtime -6 -type f | xargs rm -f
find /sbin -mtime -6 -type f | xargs rm -f
不幸的是，系统重启后，程序还是好端端的运行起来了，似乎在像我宣战，我宣你妹！。
看来它还有启动项，不错嘛，来，老子分分钟把你找出来：[root@localhost opt]# find /etc/rc.d/ -mtime -6 ! -type d
/etc/rc.d/rc1.d/S90zidrfiepwemdqj
/etc/rc.d/rc1.d/S90etwelnhtvu
/etc/rc.d/rc4.d/S90zidrfiepwemdqj
/etc/rc.d/rc4.d/S90etwelnhtvu
/etc/rc.d/rc5.d/S90zidrfiepwemdqj
/etc/rc.d/rc5.d/S90etwelnhtvu
/etc/rc.d/init.d/zidrfiepwemdqj
/etc/rc.d/rc3.d/S90zidrfiepwemdqj
/etc/rc.d/rc3.d/S90etwelnhtvu
/etc/rc.d/rc6.d/K90etwelnhtvu
/etc/rc.d/rc2.d/S90zidrfiepwemdqj
/etc/rc.d/rc2.d/S90etwelnhtvu
/etc/rc.d/rc0.d/K90etwelnhtvu
好家伙，这么多，所有运行级别都设置了启动项。
继续再来一次删除，暴力重启：find /bin -mtime -6 -type f | xargs rm -f
find /usr/bin -mtime -6 -type f | xargs rm -f
find /usr/sbin -mtime -6 -type f | xargs rm -f
find /sbin -mtime -6 -type f | xargs rm -f
find /etc/rc.d/ -mtime -6 ! -type d | xargs rm -f
重启完后，用 top 指令查看，CPU 使用也不高了，哈哈，居然就这样被干掉了？我还在想你是不是会在系统常用命令中，如 ls ps 中隐藏启动进程，一旦执行又会拉起木马程序呢
再查看下系统中是否创建了除 root 以外的管理员账号：awk -F: '{if($3 == 0) print $1}' /etc/passwd
结果发现只输入了 root 这一个用户，说明系统用户是正常的。
其实，当系统被感染 rootkit 后，系统已经变得不可靠了，唯一的办法就是重装系统了。在这里，作为一名向往白帽 hacker 的果哥，我们还是演示下如何修复下其命令程序，我的系统是 CentOS 6.8：
基本思想：我们找出常用命令所在的 rpm 包，然后强制删除之，再通过本地 yum 源进程安装 [root@localhost ~]# rpm -qf /bin/ps
procps-3.2.8-36.el6.x86_64
[root@localhost ~]# rpm -qf /bin/ls
coreutils-8.4-43.el6.x86_64
[root@localhost ~]# rpm -qf /bin/netstat
net-tools-1.60-110.el6_2.x86_64
[root@localhost ~]# rpm -qf /usr/bin/pstree
psmisc-22.6-19.el6_5.x86_64
#然后依次删除之，再重新安装：
rpm -e --nodeps procps
rpm -e --nodeps coreutils
rpm -e --nodeps net-tools
rpm -e --nodeps psmisc
yum install -y procps coreutils net-tools psmisc
好了，再重启下系统看看。

其实到这里，我们仅仅是通过一些简单的命令和对系统的掌握情况进行了问题定位和排除，我们还没有对系统日志 /var/log/messages /var/log/secure 进行排查，hacker 就已经投降了。
所以遇到问题并不可怕，可怕的是我们没有一颗敢于去解决问题的心，其次，等到问题发生了，再学习可就晚了，不要忘了每天学习积累经验哦，也许哪天你就用上了呢 Good good study,day day up!
最后献上中了木马的虚拟机，下载地址：https://yunpan.cn/cBszaTyM4jZ6T 访问密码 3bf9 root 密码 123456 在病毒未清除前，别乱联网哦，否则后果自负

上文说到 Linux 系统被 rootkit 了，我们继续探究事情的真相。

我以迅雷不及掩耳之势暴力删除了所有 6 天前的程序，并强制断电虚拟机，重启。

find /bin -mtime -6 -type f | xargs rm -f
find /usr/bin -mtime -6 -type f | xargs rm -f
find /usr/sbin -mtime -6 -type f | xargs rm -f
find /sbin -mtime -6 -type f | xargs rm -f

不幸的是，系统重启后，程序还是好端端的运行起来了，似乎在像我宣战，我宣你妹！。

看来它还有启动项，不错嘛，来，老子分分钟把你找出来：

[root@localhost opt]# find /etc/rc.d/ -mtime -6 ! -type d
/etc/rc.d/rc1.d/S90zidrfiepwemdqj
/etc/rc.d/rc1.d/S90etwelnhtvu
/etc/rc.d/rc4.d/S90zidrfiepwemdqj
/etc/rc.d/rc4.d/S90etwelnhtvu
/etc/rc.d/rc5.d/S90zidrfiepwemdqj
/etc/rc.d/rc5.d/S90etwelnhtvu
/etc/rc.d/init.d/zidrfiepwemdqj
/etc/rc.d/rc3.d/S90zidrfiepwemdqj
/etc/rc.d/rc3.d/S90etwelnhtvu
/etc/rc.d/rc6.d/K90etwelnhtvu
/etc/rc.d/rc2.d/S90zidrfiepwemdqj
/etc/rc.d/rc2.d/S90etwelnhtvu
/etc/rc.d/rc0.d/K90etwelnhtvu

好家伙，这么多，所有运行级别都设置了启动项。

继续再来一次删除，暴力重启：

find /bin -mtime -6 -type f | xargs rm -f
find /usr/bin -mtime -6 -type f | xargs rm -f
find /usr/sbin -mtime -6 -type f | xargs rm -f
find /sbin -mtime -6 -type f | xargs rm -f
find /etc/rc.d/ -mtime -6 ! -type d | xargs rm -f

重启完后，用 top 指令查看，CPU 使用也不高了，哈哈，居然就这样被干掉了？我还在想你是不是会在系统常用命令中，如 ls ps 中隐藏启动进程，一旦执行又会拉起木马程序呢

再查看下系统中是否创建了除 root 以外的管理员账号：

awk -F: '{if($3 == 0) print $1}' /etc/passwd

结果发现只输入了 root 这一个用户，说明系统用户是正常的。

其实，当系统被感染 rootkit 后，系统已经变得不可靠了，唯一的办法就是重装系统了。在这里，作为一名向往白帽 hacker 的果哥，我们还是演示下如何修复下其命令程序，我的系统是 CentOS 6.8：

基本思想：我们找出常用命令所在的 rpm 包，然后强制删除之，再通过本地 yum 源进程安装

[root@localhost ~]# rpm -qf /bin/ps
procps-3.2.8-36.el6.x86_64
[root@localhost ~]# rpm -qf /bin/ls
coreutils-8.4-43.el6.x86_64
[root@localhost ~]# rpm -qf /bin/netstat
net-tools-1.60-110.el6_2.x86_64
[root@localhost ~]# rpm -qf /usr/bin/pstree
psmisc-22.6-19.el6_5.x86_64
#然后依次删除之，再重新安装：rpm -e --nodeps procps
rpm -e --nodeps coreutils
rpm -e --nodeps net-tools
rpm -e --nodeps psmisc
yum install -y procps coreutils net-tools psmisc

好了，再重启下系统看看。