博客中毒经历,同libudev.so十字符病毒的斗争

最近几天,博客是相当的不太平。先是因为备案问题,导致了网站无法访问,错误代码502,好不容易在大神的帮助下修好了。第二天又出现了网页打开巨慢无比的问题。开始以为还是备案导致的,就各种修改Nginx,然后重启服务器发现访问正常,还真以为是配置问题。但是过了一天又发现还是出现同样的问题,又打不开网页了,再次重启,一切正常,到这里我才怀疑中毒了(太后知后觉T_T)

查问题

发现ssh很难连上,反应巨慢无比,ping的丢包率也有30%以上。

进入服务器,使用top查看进程:

真凶就是它,CPU占满,带宽也占满。这就导致了网站打不开,或者巨慢无比。

果断杀掉这个进程,果然,换个名字又会出现同样功能的进程,到这里抓狂了,因为完全没有这么近距离同病毒斗争的经验!有点兴奋又有点不知所措,因为用这个进程名字Google不到任何东西。

找真凶

因为没有病毒斗争经验,所以搜了很多资料。其中有提到检查一下启动项,才开始找到了端倪,折磨了我3天的问题才开始看到了希望。

可以看到,每3分钟就会执行gcc.sh这个文件。

分析gcc.sh文件,基本能看出它的原理:

/lib/libkill.so是病原体,通过cron.sh每隔3min自动检测一次,如果木马程序不存在,就从病原体复制一份儿到/lib/libkill.so.6

副本/lib/libkill.so.6执行,生成一个随机命名的程序,丢到/usr/bin/和/boot等目录

同时修改了自启动配置chkconfig –add xxx,同时修改自启动项/etc/rc.local

解决办法

1. 使用top命令查看病毒pid为XXX,不要直接kill掉程序,否则会再产生,而是停止其运行

# kill -STOP XXX

2. 刪除 gcc.sh,并设定 /etc/crontab无法启动,否则又会马上产生

# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

3. 删除病毒文件

# rm -f /usr/bin/这个目录下的所有病毒十字符文件

4. 删除病毒主体

# rm -f /lib/udev/udev /lib/libudev.so

5. 删除/etc/init.d下的可疑程序,感受一下….

6. 杀掉病毒进程

7. 改服务器密码

 

到此,服务器恢复正常,没有看到异常进程,网站访问正常。

 

总结

服务器密码千万不要用弱密码,这次中毒完全是因为我用了Password1这样的密码。。。

除此之外,也可能是redis漏洞导致。

 

1 thought on “博客中毒经历,同libudev.so十字符病毒的斗争

发表评论

电子邮件地址不会被公开。 必填项已用*标注