再杀木马

 

公司环境由于弱口令，又一次中招了。

这次木马不像上次那样简简单单删除了。

一直有个/bin/njKA*** 的进程启动。杀了又有。

试着删了后创建同名文件并且加上i属性：发现问题了：chattr命令不能用。

ll查看chattr权限：000

蛋疼，可执行权限没了。试着加上x，发现权限不够。

用lsattr查看chattr的属性，结果提示lsattr无此命令。

从其他机器copy lsattr命令过来。查看后发现chattr命令被加上了i属性。所以无法修改。

没办法了么？当然不是：我们再copy一个chattr命令过来，重命名为chattr2.

然后用chattr2  -i  chattr

这样chattr就可以增加x权限了。当然为了安全起见（万一chattr命令被木马替换了呢），直接删了chattr。然后mv  chattr2  chattr.

继续考虑： 木马删了lsattr，说明不想让我们查看文件是否具有i属性。会不会是因为，所有木马文件都具有i属性呢？

按照这个思路， 查找所有具有i属性的文件：

cat /dev/null > scan.log;for tmp in `ls /bin /sbin /usr/bin  /usr/sbin`;do lsattr `which $tmp` |grep "-i-" >> scan.log;done

----i--------e- /bin/netstat
----i--------e- /bin/ps
----i--------e- /usr/bin/chattr
----i--------e- /usr/bin/cond
----i--------e- /usr/bin/kauditd
----i--------e- /usr/bin/kswapd
----i--------e- /usr/bin/osx
----i--------e- /usr/bin/scp
----i--------e- /usr/bin/ssh
----i--------e- /usr/bin/strings
----i--------e- /usr/bin/tack
----i--------e- /usr/bin/xfontsel
----i--------e- /usr/bin/zmap
----i--------e- /usr/sbin/lsof
----i--------e- /usr/sbin/ss
----i--------e- /usr/sbin/sshd

这么多程序被加上了i属性。

我对比了下正常环境，这些都是没有i属性的。

所以说，这些命令都被木马替换掉了。

那就全部替换掉。

替换途中提示有些文件在正常环境中不存在：

/usr/bin/cond
/usr/bin/kauditd
/usr/bin/kswapd
/usr/bin/tack
/usr/bin/xfontsel
/usr/bin/zmap

怀疑是木马。删了。

然后ps查看发现有很多kauditd进程: 正常环境中也有，不过都是带中括号的。

类似

[root@localhost ~]# ps aux |grep kaudit
root       555  0.0  0.0      0     0 ?        S    Jun02   0:29 [kauditd]
root     13606  0.0  0.0 103256   860 pts/5    S+   12:01   0:00 grep kaudit

杀掉这些命令相关进程。

之后感觉木马基本杀光了。

P.S. 查看进程过程中发现一直有sshd: root [priv]等这样的玩意。一开始以为又是什么木马伪装成sshd，后续google知道

原来是有人在试图用ssh登录机器。如果该进程一直存在，说明有人在暴力破解。

[root@localhost ~]# ps  -aux |grep sshd

Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root      4872  0.0  0.0  86268  3560 ?        Ss   12:55   0:00 sshd: root@pts/1
root      7665  0.0  0.0  64416  1216 ?        Ss   22:09   0:00 /usr/sbin/sshd
root     11568  0.0  0.0  98196  3968 ?        Ss   22:53   0:00 sshd: root@pts/0
root     11575  0.0  0.0  96828  3772 ?        Ss   22:53   0:00 sshd: unknown [priv]
sshd     11580  0.0  0.0  65760  1728 ?        S    22:53   0:00 sshd: unknown [net]
root     11583  0.4  0.0  97200  4204 ?        Ss   22:53   0:00 sshd: root [priv]
sshd     11585  0.0  0.0  65760  1632 ?        S    22:53   0:00 sshd: root [net]