1.病毒现象
肉鸡,对外进行DOS流量攻击,也可能成为矿机
2.判定是否gates病毒
查看tmp目录,看是否存在gates.lod、moni.lod恶意文件,如果有可以判断为存在Linux.BackDoor.Gates木马。
/etc/init.d目录下存在恶意文件DbSecuritySpt、selinux
3.病毒感染文件(表现)
/usr/sbin/lsof
/usr/sbin/ss
/bin/netstat
/bin/ps
病毒直接篡改替换成直接的命令文件,并且会在/usr/bin/basd-port 生成 conf.n、getty、getty.lock等文件
/usr/bin/dpkgd 目录下出现出现losf、netstat、ps、ss命令
4.处理
执行删除:rm -f /tmp/gates.lod
执行删除:rm -f /tmp/moni.lod
执行删除:rm -f /etc/init.d/DbSecuritySpt
执行删除:rm -f /etc/init.d/selinux
删除被篡改的命令文件(篡改大小后均为1.2M):
执行删除:rm -f /usr/sbin/lsof
执行删除:rm -f /usr/sbin/ss
执行删除:rm -f /bin/netstat
执行删除:rm -f /bin/ps
找一台正常的机子中文件复制过来;。
执行删除: rm -rf /usr/bin/dpkgd
执行删除:rm -rf /usr/bin/bsd-port#木马程序
执行删除:rm -f /usr/bin/.sshd #木马后门
执行删除:rm -f /tmp/gates.lod rm -f /tmp/moni.lod rm -f /etc/rc.d/init.d/DbSecuritySpt (启动上述描述的那些木马变种程序)
执行删除:rm -f/etc/rc.d/rc1.d/S97DbSecuritySpt
执行删除:rm -f/etc/rc.d/rc2.d/S97DbSecuritySpt
执行删除:rm -f/etc/rc.d/rc3.d/S97DbSecuritySpt
执行删除:rm -f/etc/rc.d/rc4.d/S97DbSecuritySpt
执行删除:rm -f/etc/rc.d/rc5.d/S97DbSecuritySpt
执行删除:rm -f/etc/rc.d/init.d/selinux (默认是启动/usr/bin/bsd-port/getty)
执行删除:rm -f/etc/rc.d/rc1.d/S99selinux
执行删除:rm -f/etc/rc.d/rc2.d/S99selinux
执行删除:rm -f/etc/rc.d/rc3.d/S99selinux
执行删除:rm -f/etc/rc.d/rc4.d/S99selinux
执行删除:rm -f/etc/rc.d/rc5.d/S99selinux
处理过后需要排查一下后门,服务器不必要的对外暴露端口则关闭,在防火墙直接屏蔽,或者做最小范围开放,进入减少风险!