开启左侧

记一次Linux系统被rootkit的排查过程(二)

二维码 [复制链接]
235 0
上文说到Linux系统被rootkit了,我们继续探究事情的真相。
1、删除程序重启系统
我以迅雷不及掩耳之势暴力删除了所有6天前的程序,并强制断电虚拟机,重启。
  1. find /bin -mtime -6 -type f | xargs rm -f
  2. find /usr/bin -mtime -6 -type f | xargs rm -f
  3. find /usr/sbin -mtime -6 -type f | xargs rm -f
  4. find /sbin -mtime -6 -type f | xargs rm -f
复制代码
不幸的是,系统重启后,程序还是好端端的运行起来了,似乎在像我宣战,我宣你妹!。
看来它还有启动项,不错嘛,来,老子分分钟把你找出来:
复制代码
  1. [root@localhost opt]# find /etc/rc.d/ -mtime -6 ! -type d
  2. /etc/rc.d/rc1.d/S90zidrfiepwemdqj
  3. /etc/rc.d/rc1.d/S90etwelnhtvu
  4. /etc/rc.d/rc4.d/S90zidrfiepwemdqj
  5. /etc/rc.d/rc4.d/S90etwelnhtvu
  6. /etc/rc.d/rc5.d/S90zidrfiepwemdqj
  7. /etc/rc.d/rc5.d/S90etwelnhtvu
  8. /etc/rc.d/init.d/zidrfiepwemdqj
  9. /etc/rc.d/rc3.d/S90zidrfiepwemdqj
  10. /etc/rc.d/rc3.d/S90etwelnhtvu
  11. /etc/rc.d/rc6.d/K90etwelnhtvu
  12. /etc/rc.d/rc2.d/S90zidrfiepwemdqj
  13. /etc/rc.d/rc2.d/S90etwelnhtvu
  14. /etc/rc.d/rc0.d/K90etwelnhtvu
复制代码
好家伙,这么多,所有运行级别都设置了启动项。
继续再来一次删除,暴力重启:
  1. find /bin -mtime -6 -type f | xargs rm -f
  2. find /usr/bin -mtime -6 -type f | xargs rm -f
  3. find /usr/sbin -mtime -6 -type f | xargs rm -f
  4. find /sbin -mtime -6 -type f | xargs rm -f
  5. find /etc/rc.d/ -mtime -6 ! -type d | xargs rm -f
复制代码
重启完后,用top指令查看,CPU使用也不高了,哈哈,居然就这样被干掉了?我还在想你是不是会在系统常用命令中,如ls  ps 中隐藏启动进程,一旦执行又会拉起木马程序呢
再查看下系统中是否创建了除root以外的管理员账号:
  1. awk -F: '{if($3 == 0) print $1}' /etc/passwd
复制代码
结果发现只输入了root这一个用户,说明系统用户是正常的。
其实,当系统被感染rootkit后,系统已经变得不可靠了,唯一的办法就是重装系统了。在这里,作为一名向往白帽hacker的果哥,我们还是演示下如何修复下其命令程序,我的系统是CentOS 6.8:
基本思想:我们找出常用命令所在的rpm包,然后强制删除之,再通过本地yum源进程安装
  1. [root@localhost ~]# rpm -qf /bin/ps
  2. procps-3.2.8-36.el6.x86_64
  3. [root@localhost ~]# rpm -qf /bin/ls
  4. coreutils-8.4-43.el6.x86_64
  5. [root@localhost ~]# rpm -qf /bin/netstat
  6. net-tools-1.60-110.el6_2.x86_64
  7. [root@localhost ~]# rpm -qf /usr/bin/pstree
  8. psmisc-22.6-19.el6_5.x86_64
  9. #然后依次删除之,再重新安装:
  10. rpm -e --nodeps procps
  11. rpm -e --nodeps coreutils
  12. rpm -e --nodeps net-tools
  13. rpm -e --nodeps psmisc
  14. yum install -y procps coreutils net-tools psmisc
复制代码
好了,再重启下系统看看。


总结
其实到这里,我们仅仅是通过一些简单的命令和对系统的掌握情况进行了问题定位和排除,我们还没有对系统日志/var/log/messages /var/log/secure进行排查,hacker就已经投降了。

所以遇到问题并不可怕,可怕的是我们没有一颗敢于去解决问题的心,其次,等到问题发生了,再学习可就晚了,不要忘了每天学习积累经验哦,也许哪天你就用上了呢 Good good study,day day up!


赞助本站





上一篇:记一次Linux系统被rootkit的排查过程(一)
下一篇:用shell写的俄罗斯方块
学会善用【论坛搜索】功能,很多你要寻找的答案就在这里面;
您需要登录后才可以回帖 登录 | 注册

本版积分规则

发新帖 回复

104

主题

104

帖子

233

街币
更多

精彩推荐

新人报到专用贴
新人报到专用贴
==新人报道格式(选填)== 【我的昵称】: 【我的性别
爱好街资源共享区文件解压密码
爱好街资源共享区文件解压密码
因本站分享的文件实在太多,目前收集整理已经接近4T,所以有些文
独立团VIP教程第1-7版全套打包下载(含课件源码工具等)
独立团VIP教程第1-7版全套打包
独立团第1版易语言教程 独立团第一版1易语言入门 1-1-1外
爱好街链接地址失效有奖报错
爱好街链接地址失效有奖报错
我们的成长离不开大家的支持!! 各位爱好街的会员:
魔鬼作坊vip教程辅助制作培训之零基础绝密汇编语言入门课程
魔鬼作坊vip教程辅助制作培训
这套课程为汇编入门教程,学习游戏逆向反汇编需要用到的基础知
万挂作坊教程+封包+E模块(全套下载)
万挂作坊教程+封包+E模块(全套
万挂-封包 封包加密解密-01 封包加密解密-02 封包加密

免责声明:
在爱好街发布的文章与主题属会员个人意见,与本站立场无关,文章内容由作者与爱好街享有相关版权,如需转载请注明出处或取得会员与本站的许可,否则本站将追究相应的法律责任,如部分内容有侵犯任何版权问题,请立即告知本站,本站将及时予以删除并致以最深的歉意。另外不得将本站内容用于商业或者非法用途,否则,一切后果请用户自负。

Mail To:MasTer@AiHaiJie.Com

快速回复
快速回复 返回顶部 返回列表