小白新手清除billgates（蠕虫病毒）

zjlzhok · 发表于 2018-11-15 12:26

身为运维小白新手的我在公司深信服防火墙发现内网的服务器(redhat )中了billgates病毒疯狂大量发包（平均每5分钟发包）.

用iptables防火墙设置限制外发包量处理。iptables -A OUTPUT -o eth0 -m limit --limit1024/sec -j ACCEPTiptables -P OUTPUT DROP
察看启动日志发现非root用户在\etc\init.d自启动目录下创建2个文件dbsecurityspt 和 selinux:非正常程序

察看可疑程序批处理的目录及路径：

通过ps -ef 找到进程pid，然后利用 lsof -p 查看进程打开的所有文件信息，并尝试杀掉进程，并删除这些打开的文件，必须要删除.sshd主程序和getty克隆副程序文件删除后，否则相关联文件还会重新生成。

然后分别清除以下生成的木马病毒文件清除受感染病毒文件： ·rm -rfi/tmp/moni.lod /tmp/gates.lod · rm -rfi /etc/init.d/selinux/etc/init.d/DbSecuritySpt·rm -rfi /etc/rc1.d/S97DbSecuritySpt/etc/rc1.d/S99selinux· rm -rfi /etc/rc2.d/S97DbSecuritySpt/etc/rc2.d/S99selinux· rm -rfi /etc/rc3.d/S97DbSecuritySpt/etc/rc3.d/S99selinux· rm -rfi /etc/rc4.d/S97DbSecuritySpt/etc/rc4.d/S99selinux· rm -rfi /etc/rc5.d/S97DbSecuritySpt/etc/rc5.d/S99selinux· rm -rfi /usr/bin/bsd-port/ /tmp/pythompy重启服务器后，用深信服防火墙及zabbix 察看该服务器流量等状态正常。billgates僵尸网络木马是一个感染性及隐蔽性极强的病毒，它会创建进程来进行C&C通信、病毒监控等操作，、同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。和rootkill很相似主要利用服务器某个程序的后门植入服务器然当作肉鸡。我是运维新手，以上手动清除描述有错漏不当之处，有请各位大佬见谅。

电科信息士 · 发表于 2018-11-25 20:51

尊敬的楼主，您觉得此次在redhat中的程序后门是在哪里的呢？是您服务器的服务进程吗？另外，楼主，在感染复杂的情况下，如果我编写shell，相应的关键字有那些呢？

zjlzhok · 发表于 2018-11-26 08:46

@电科信息士,ps -ef|grep .sshd，.sshd文件是病毒主体，首先要在进程中kill了，其他进程进程随机名不同，主要是自启动/etc/init.d目录下，有selinux等。

bedboy333333 · 发表于 2018-11-15 16:19

这么专业还说是小白》？

China菜鸟 · 发表于 2018-11-15 16:19

很6，让我们共同成长，从小白到老司机。

xiaoyouguang · 发表于 2018-11-15 16:21

感谢，先收藏

俺是大绅士 · 发表于 2018-11-15 16:30

你这个好意思说自己是小白哦

lpy6759 · 发表于 2018-11-15 16:31

我是真的小白，大神都是发现可疑进程，可疑文件，我根本找不到什么是可疑文件

fanai · 发表于 2018-11-15 17:55

居然用的是深信服的引擎，厉害了

zjlzhok · 发表于 2018-11-15 17:59

小白才依赖用深信服的防火墙引擎，高手才用ZABBIX和BLINDWINDS.

15230916103 · 发表于 2018-11-15 21:16

感谢楼主

x65flasher · 发表于 2018-11-15 21:34

看到了这个帖子才知道有差距

帐号		自动登录	找回密码
密码			注册[Register]

[分享] 小白新手清除billgates（蠕虫病毒）

免费评分

个人中心