最近發現ps中有出現奇怪行為的process
查了一下, 發現process中有一個十位數亂數程式
嘗試想要kill, 卻發現刪掉後會再起另一個十位數亂數程式
於是開始查, 到底是那邊在搞鬼
首先發現/etc/init.d下有奇怪的script
vi /etc/crontab 裡面的內容, 發現有被塞code.
*/3 * * * * root /etc/cron.hourly/gcc.sh
接著追/etc/cron.hourly/gcc.sh
可以看到gcc.sh 先啟動網路, 並且cp & 執行libudev.so.6
file看一下, 會發現這個.so並不是share object, 而是ELF format的binary
發現中毒後, 就開始移除此惡意程式 ref: [1],[2]
1. 先刪除gcc.sh以及/etc/crontab的程式,並設定 /etc/crontab 無法變動, 以免再度產生惡意process
rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab
2. 找到process id, 但不要直接kill process程序, 而是發出stop signal, 避免process reborn
root@szlin:/etc/init.d# kill -STOP 5542
3. 接著刪除/etc/init.d 內的惡意檔案
4. 刪除/usr/bin 內的檔案以及相關可疑的檔案
rm -rf /usr/bin/ravbmnbjfl
5. 殺掉惡意process程序, 這時惡意process就不會reborn了
pkill ravbmnbjfl
6. 最後一步, 刪掉惡意程式
rm -f /lib/libudev.so
完成後, 再ps中已經沒有可疑程式, reboot後也一切正常
終於大工告成, 把惡意程式徹底移除
ref:
[1]: http://dywang.csie.cyut.edu.tw/dywang/security/node102.html
[2]:https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/