Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理

此恶意软件结合了传统后门程序和DDoS攻击木马的功能

前两天性能测试服务器被种马,cpu一直占用率90%以上,机器运行非常卡,同时也出现疯狂向外发包的现象,怀疑已被用做了ddos攻击的肉鸡。

出现以下几种异常现象:

1、用TOP可以查看到相关进程名:/usr/bin/bsd-port/agent  且用 ps -ef 无法查看到该进程号,当然也无法中止该进程。怀疑 ps 等部分文件也被感染于是从其它机器上分别传过来进行替换。

2、在/etc/init.d/目录下发现 seliunux 、iscsi、scsi、YbSecurityHdt 被感染的服务程序,同时为了使该木马程序开机自动启动,在/etc/rc.d/rc*.d/下面建立了几个软链接文件分别指向 seliunux 、iscsi、scsi、YbSecurityHdt 这几个文件。

3、在/etc/ssh/下发现  bashpa、sshpa 异常文件,应该是ssh后门相关的。分别chattr -i 后再删除之

删除相关不应有的软链接和服务脚本文件后,立即重启系统后正常。

参考资料:http://blog.csdn.net/liukeforever/article/details/38560363

-------------------------------------------------------------------------------------------------

一、概述  

Linux比其它操作系统更稳定更安全。理论上Linux是有可能被病毒侵害的。但实际上 Linux机器几乎不可能遭受病毒的攻击。所以我这里的问题是为什么要为Linux准备防病毒软件,为了更好理解,我准备了以下理由,Linux平台安装杀毒软件的原因:1、从Linux平台扫描Windows驱动。2、通过网络扫描Windows工作站。3、在Linux服务器中扫描接收和发送的邮件。4、扫描发送给其它机器的重要文件。
     下面向你推荐最好的免费的Linux平台杀毒软件:1、ClamAV 杀毒。2、Avast Linux 家庭版。3、Avast Linux 家庭版。4、AVG 免费版杀毒。5、F-PROT 杀毒。

我们主要来介绍ClamAV 杀毒:ClamAV 杀毒是Linux平台最受欢迎的杀毒软件,ClamAV属于免费开源产品,支持多种平台,如:Linux/Unix、MAC OS X、Windows、OpenVMS。ClamAV是基于病毒扫描的命令行工具,但同时也有支持图形界面的ClamTK工具。ClamAV主要用于邮件服务器扫描邮件。它有多种接口从邮件服务器扫描邮件,支持文件格式有如:ZIP、RAR、TAR、GZIP、BZIP2、HTML、DOC、PDF,、SIS CHM、RTF等等。ClamAV有自动的数据库更新器,还可以从共享库中运行。

编译ClamAV时应包括zlib库,用于压缩和解压缩函数。(下述为以clamav-0.97.6.tar.gz为例的编译安装和使用)

使用yum install clamav clamd clamav-update  -y   进行一键安装

#sed -i  '/^TCPAddr/{ s/127.0.0.1/0.0.0.0/g }'  /etc/clamd.d/scan.conf

#sed -i 's/^Example/#Example/' /etc/clamd.d/scan.conf ; sed -i 's/^Example/#Example/' /etc/freshclam.conf

二、系统环境

系统环境:centos 6.2

软件:

1、zlib-1.2.7.tar.gz

下载:wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

2、clamav-0.97.6.tar.gz

下载:wget http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

三、安装

   1、zlib-1.2.7.tar.gz安装

    tar xvzf zlib-1.2.7.tar.gz
#cd zlib-1.2.7
#./configure
#make && make install

2、添加用户组clamav和组成员clamav(注:在安装clamav-0.97.6.tar.gz前必须先添加用户)

# groupadd clamav
# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3、clamav-0.97.6.tar.gz

#tar xvzf clamav-0.97.6.tar.gz
#cd clamav-0.97.6
# ./configure --prefix=/opt/clamav  --disable-clamav
# make
#make install

四、配置

  1、创建目录

mkdir /opt/clamav/logs       (日志存放目录)
mkdir /opt/clamav/updata (clanav 病毒库目录)

  2、创建文件

在/var/log目录下添加两个logs文件:clamd.log和freshclam.log,将所有者改为新加的clamav用户,并设置相应的文件读写权限

#touch /opt/clamav/logs/freshclam.log
#touch /opt/clamav/logs/clamd.log

3、配置/etc/clam.conf文件

#cd /opt/clamav
#vi etc/clamd.conf

  # Example 注释掉这一行. 第8 行  

TCPAddr 127.0.0.1                                     改成 0.0.0.0
        LogFile /opt/clamav/logs/clamd.log              删掉前面的注释目录改为logs下面 第14行
    PidFile /opt/clamav/updata/clamd.pid           删掉前面的注释路径改一下 第57行
    DatabaseDirectory /opt/clamav/updata 同上 第65行

4、配置freshclam.conf文件

#vi etc/freshclam.conf

  #Example 注释掉这一行
  DatabaseDirectory /opt/clamav/updata
  UpdateLogFile /opt/clamav/logs/freshclam.log
  PidFile /opt/clamav/updata/freshclam.pid

5、文件授权

#chown clamav:clamav /opt/clamav/logs/freshclam.log
#chown clamav:clamav /opt/clamav/logs/clamd.log
#chown clamav:clamav /opt/clamav/updata

五、执行

  1、升级

#/opt/clamav/bin/freshclam        (升级病毒库) 

2、杀毒

#ln -s /opt/clamav/bin/*  /usr/local/sbin/
#clamscan --查杀当前目录下的文件
#clamscan -r --查杀当前目录的所有文件及目录
#clamscan dir --查杀dir目录
#clamscan -r dir --查杀目录dir下的所有文件及目录
#/opt/clamav/bin/clamscan --remove --扫描到感染文件后直接删除
#/opt/clamav/bin/clamscan -l /*.log --保存扫描日志

3、帮助

#/opt/clamav/bin/clamscan --help  

六、自动更新

freshclam的自动更新
后台运行freshclam:
# freshclam -d
还可以使用cron后台自动定时运行freshclam:将下述行加到crontab中:
N * * * * /opt/bin/freshclam --quiet
(其中,N是-3-57之间的数据,表示每隔N个小时检查更新病毒数据库)

一般使用计划任务,让服务器每天晚上定时跟新和定时杀毒。保存杀毒日志,我的crontab文件如下

1  3  * * *          /usr/local/clamav/bin/freshclam --quiet
20 3  * * *          /usr/local/clamav/bin/clamscan  -r /home  --remove -l /var/log/clamscan.log

参考资料:http://www.jb51.net/LINUXjishu/224647.html

               http://wiki.ubuntu.org.cn/ClamAV

05-08 08:00