最近發現ps中有出現奇怪行為的process

查了一下, 發現process中有一個十位數亂數程式

嘗試想要kill, 卻發現刪掉後會再起另一個十位數亂數程式

於是開始查, 到底是那邊在搞鬼

首先發現/etc/init.d下有奇怪的script

vi /etc/crontab 裡面的內容, 發現有被塞code.

*/3 * * * * root /etc/cron.hourly/gcc.sh

接著追/etc/cron.hourly/gcc.sh

可以看到gcc.sh 先啟動網路, 並且cp & 執行libudev.so.6

file看一下, 會發現這個.so並不是share object, 而是ELF format的binary

發現中毒後, 就開始移除此惡意程式 ref: [1],[2]

1. 先刪除gcc.sh以及/etc/crontab的程式，並設定 /etc/crontab 無法變動, 以免再度產生惡意process

 rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

2. 找到process id, 但不要直接kill process程序, 而是發出stop signal, 避免process reborn

root@szlin:/etc/init.d# kill -STOP 5542

3. 接著刪除/etc/init.d 內的惡意檔案

4. 刪除/usr/bin 內的檔案以及相關可疑的檔案

rm -rf /usr/bin/ravbmnbjfl

5. 殺掉惡意process程序, 這時惡意process就不會reborn了

pkill ravbmnbjfl

6. 最後一步, 刪掉惡意程式

rm -f /lib/libudev.so

完成後, 再ps中已經沒有可疑程式, reboot後也一切正常

終於大工告成, 把惡意程式徹底移除

ref:

[1]: http://dywang.csie.cyut.edu.tw/dywang/security/node102.html

[2]:https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/