Linux misc

Linux 惡意程式-刪不掉的十位數亂數程式

最近發現ps中有出現奇怪行為的process

2016-02-02 20:27:17 的螢幕擷圖.png

查了一下, 發現process中有一個十位數亂數程式

01d16467-c3f3-4070-8589-29140d004f63.png

嘗試想要kill, 卻發現刪掉後會再起另一個十位數亂數程式

於是開始查, 到底是那邊在搞鬼

首先發現/etc/init.d下有奇怪的script

633a29e3-4606-45f1-966c-7f13edd9bacf.png

vi /etc/crontab 裡面的內容, 發現有被塞code.

[code language=”bash”]

*/3 * * * * root /etc/cron.hourly/gcc.sh

[/code]

接著追/etc/cron.hourly/gcc.sh

unnamed.jpg

可以看到gcc.sh 先啟動網路, 並且cp & 執行libudev.so.6

file看一下, 會發現這個.so並不是share object, 而是ELF format的binary

unnamed

發現中毒後, 就開始移除此惡意程式 ref: [1],[2]

1. 先刪除gcc.sh以及/etc/crontab的程式,並設定 /etc/crontab 無法變動, 以免再度產生惡意process

[code language=”bash”]

rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

[/code]

2. 找到process id, 但不要直接kill process程序, 而是發出stop signal, 避免process reborn

[code language=”bash”]

root@szlin:/etc/init.d# kill -STOP 5542

[/code]

3. 接著刪除/etc/init.d 內的惡意檔案

13752023-b2dd-4878-9689-9e34ac5cdc9e (1).png

4. 刪除/usr/bin 內的檔案以及相關可疑的檔案

[code language=”bash”]

rm -rf /usr/bin/ravbmnbjfl

[/code]

5. 殺掉惡意process程序, 這時惡意process就不會reborn了

[code language=”bash”]

pkill ravbmnbjfl

[/code]

6. 最後一步, 刪掉惡意程式

[code language=”bash”]

rm -f /lib/libudev.so

[/code]

完成後, 再ps中已經沒有可疑程式, reboot後也一切正常

終於大工告成, 把惡意程式徹底移除

ref:

[1]: http://dywang.csie.cyut.edu.tw/dywang/security/node102.html

[2]:https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/

發表迴響