身为运维小白新手的我在公司某公司防火墙发现内网的服务器(redhat )中了billgates病毒疯狂大量发包(平均每5分钟发包).
用linux系统中iptables防火墙,设置限制外发包量处理。 命令为:iptables -A OUTPUT -o eth0 -m limit --limit1024/sec -j ACCEPTiptables -P OUTPUT DROP
察看启动日志发现非root用户在\etc\init.d自启动目录下创建2个文件dbsecurityspt 和 selinux:非正常程序
察看可疑程序批处理的目录及路径
通过ps -ef 找到进程pid,然后利用 lsof -p 查看进程打开的所有文件信息,并尝试杀掉进程,并删除这些打开的文件,必须要删除.sshd主程序和getty克隆副程序文件删除后,否则相关联文件还会重新生成。
然后分别清除以下生成的木马病毒文件清除受感染病毒文件: ·rm -rfi/tmp/moni.lod /tmp/gates.lod · rm -rfi /etc/init.d/selinux/etc/init.d/DbSecuritySpt·rm -rfi /etc/rc1.d/S97DbSecuritySpt/etc/rc1.d/S99selinux· rm -rfi /etc/rc2.d/S97DbSecuritySpt/etc/rc2.d/S99selinux· rm -rfi /etc/rc3.d/S97DbSecuritySpt/etc/rc3.d/S99selinux· rm -rfi /etc/rc4.d/S97DbSecuritySpt/etc/rc4.d/S99selinux· rm -rfi /etc/rc5.d/S97DbSecuritySpt/etc/rc5.d/S99selinux· rm -rfi /usr/bin/bsd-port/ /tmp/pythompy
重启服务器后,用某公司防火墙及zabbix 察看该服务器 流量等状态正常。
billgates僵尸网络木马是一个感染性及隐蔽性极强的病毒,它会创建进程来进行C&C通信、病毒监控等操作,、同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。和rootkill很相似主要利用服务器某个程序的后门植入服务器然当作肉鸡。 | 
发表于 2019-8-6 08:38
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
