201224060202_Linux下随机10字符病毒清除.ppt

Linux下随机10字符病毒清除 Linux有也病毒？ 早在1996年，澳大利亚一个名为VLAD的组织便发布了Linux系统下的第一个使用汇编语言编写的Staog病毒。Staog病毒并不会对系统有什么实质性的损坏，它应该算是一个演示版，它向人们揭示了Linux可能被病毒感染的潜在危险。Linux系统上第二个被发现的病毒是Bliss病毒，它更象是一个实验性病毒。它有个一个特点，本身带有免疫程序，只要在运行该程序时加上 disinfect-files-please选项，即可恢复系统，因此其实验的成分更多些。 也许刚开始的时候，Linux病毒侧重于向人们传达一种声音，接下来就没有那么幸运了，2001年爆发的Ramen病毒，便具有了无须干预、自动传播的功能，这一点与早期的Morris蠕虫很相似，它利用RPC.statd和wu-FTP漏洞感染Linux系统，由此可见，对Linux的系统或软件的漏洞都不可掉以轻心。而如果很早就使用Linux系统的朋友，也许对2001年大规模爆发的狮子病毒还记忆犹新，严格的说，它是一种可以通过网络迅速传播的蠕虫病毒，它可以通过电子邮件把密码和配置文件发送到制定的域名，攻击者根据发回的文件突破整个系统，更恐怖的是，中了狮子病毒的机器会在网上搜索别的受害者。 虽然从第一个Linux病毒的发现至今，Linux平台下的病毒种类远没有Windows的庞大，其主要病毒威胁来自于Slapper、Scalper、 Linux.Svat、BoxPoison、 Lion.worm、OSF.8759等病毒，然而随着Linux用户的增多以及病毒利益化的趋势，新的病毒将不断出现，因此使用Linux平台时，需要对Linux下各种病毒以及系统自身有一定的了解，不然，在与病毒的较量中会很难取胜的。 一、什么是随机10字符病毒 病毒表现： 网络流量暴满，疯狂地向香港的一个IP发数据，同时在top里面表现为随机的10位字母的进程，看/proc里面的信息，则为ls，cd之类常见的命令，CPU利用率也在top之首。杀死该进程后，会再随机产生一个新的进程。 二、查找步骤 /proc/_pid/cmdline里面都是伪造的信息，ps显示的内容也一样，基本上为下面一些常见的命令，混淆管理员眼光查询线索，核验这一个，可以尝试把who等不常见的命令禁用执行权限，但随后却会发现该命令不停地出现在ps -Af里面： gnome-terminal ls -a route -n netstat -antop fconfig sh cd /etc bash who cat resolv.conf ps -ef cat resolv.conf 由于大量的流量，先用iptables封住该IP，tcp连接不上后，它会改用udp向外发送，发送不出去后会进入监听状态，端口可以见下面的lsof结果。 三、ps -AfH，显示为以上的命令，但是ppid（父id）为1，则为init，所以这个应该是跟某个服务相关的。 用pstree可以看到真实的名字： 四、在crontab的log里面，总显示执行了一个gcc.sh，经查找，是在/etc/cron.hourly/里面： 正常的库文件应该为： 五、再查init.d，发现在runlevel 3下有两个可疑的进程，这两个进程杀死后马上再启动，非常有嫌疑： 六、再战lsof： 再次快速重复查看：# lsof -R | grep /usr/bin，发现主进程不变，总是产生几个辅进程，并且一直处于dedeted状态，这说明主进程会快速产生几个子进程，然后这些进程之间相互检测，一旦检测到病毒主体被删除或更改，就会再产生一个。 解决： １、先删除掉init系统的启动项目，这样保证init不会主动启动病毒，同时这些监控进程不去检测init中的项目是否被删除，否则又会加大点麻烦； ２、再禁掉crontab里面的东西，保证不自动启动； ３、执行：chmod 000 /usr/bin/xxxxxxx chattr +i /usr/bin 这个命令是复合命令，先禁止执行，再锁定/usr/bin，这样保证新产生的病毒写不到里面去 ４、杀掉主进程，删除病毒主体。 ５、检查无误后，解开/usr/bin，删除掉可能产生的其他病毒体。 总结： １、/proc里面的东西是可以更改的； ２、lsof还比较忠诚，不直接读取/proc里面的信息，ps看到的就不一定真实，top看到的进程还是正确的。 * START 从这个地方可以看到病毒本体：/lib/libudev.so，这个文件看起来应该是一个库文件，但是用file查看，这个文件则为一个可执行文件，请注意下面的两个文件，一个为executable