クラウドサーバーの場合、次のように、クラウド監視の状況と認識からトロイの木馬ファイル関連のプロセス名、ID、およびパスを直接取得できます。
ファイルパス:/opt/apache-tomcat-7.0.104/bin/shell1.elf
悪意のあるファイルmd5:91cc7f105856a0e9eb6a29ef3d08d9ce
プロセスid:27504
物理的なマシンの場合は、端末を注意深くチェックする必要があります。
- top#異常なプロセスpidを注意深くチェックします
- ls -l / proc / pid / exe#異常なプロセスコマンドのパスを表示します
深刻な場合、トロイの木馬ウイルスは通常のシステムコマンドを変更または置換します
psやlsなどのコマンドを出力せずに実行すると、システムの信頼性が低下し、コマンドを実行するとさらにウイルスが発生する可能性があります。
最初に行う必要があるのは、ls、ps、netstat、lsof、その他のコマンドなど、トラブルシューティングに一般的に使用するいくつかのツールを復元することです。
chattr -i -a / bin / ps && rm / bin / ps -f#ps、ls、netstat、lsof、topなどの感染の可能性のあるコマンドを削除します。これらのコマンドのサイズが通常のプログラムと一致しているかどうかは、ls -lh / bin / psで確認できます。
次に、同じオペレーティングシステムのps、ls、netstat、lsofコマンドを見つけ、これらのコマンドを感染したシステムにコピーして一時的に使用します。
特定の操作プロセス:
1。プロセスを
強制終了します:killall .shell.elf
killall .shell1.elf
2.スクリプトの実行権限を制限します:
chmod 000 .shell.elf
chmod 000 .shell1.elf
3.ファイルの内容をクリアします:
>。shell.elf
> .shell1.elf4
。ロック
chattr + i shell.elf
chattr + i shell1.elf#
プロセスを強制終了した後、まったく機能しないことがあり、しばらくすると、/ usr / bin /から/ binに転送され、その後再び転送されます。 / tmpに転送します。このとき、ウイルスのバックグラウンドに監視プロセスがあることに注意する必要があります。プロセスが終了すると、すぐに新しいプロセスが再開されます。
このとき、スケジュールされたタスクログを動的に表示する必要があります。
Tail / var / log / cron、cat / etc / crontab 、およびcrontab -l
動的ログで、定期的に実行できるスクリプトが見つかりました:(root)CMD(/opt/systemd-service.sh> / dev / null 2>&1&)
そこで、/ opt /にアクセスすると、隠されたトロイの木馬ファイルがいくつかあることがわかりました。処理方法は上記と同じです。
[root @ localhost opt] #ll
total Usage 0
----------。1root root 0 October 13 15 :00 70OXQG.sh
----------。1ルートルート010月13日15:00bffbe
----------。1ルートルート010月13日15:00ryukd。 sh
---------- 1ルートルート010月13日15:00systemd-service.sh
[root @ localhost opt] #chmod 000 systemd-service.sh
chmod:「systemd-service.sh」の権限を変更します:操作は許可されていません
[root @ localhost opt] #chattr -i systemd-service.sh
[root @ localhost opt] #chmod 000 systemd-service.sh
[root @ localhost opt]#> systemd-service.sh
[root @ localhost opt] #chattr + i systemd-service.sh
[root @ localhost opt]#lsattrsystemd -service。 sh
---- i ----------- systemd-service.sh
また、cat / etc / crontab、crontab -l、および/etc/cron.d/には、トロイの木馬ファイルのタイミングタスクのスクリプトが次のようにあり、すべてコメントアウトされています。
#34 * * * * /root/.systemd-service.sh> / dev / null 2>&1&
#18 * * * * /opt/systemd-service.sh> / dev / null 2>&1&
#56 * * * * /root/.Lin64.sh> / dev / null 2>&1&
次に、システム起動ファイルrc.local、/ etc / init.d、および/ tmpディレクトリをチェックして、上記のような処理方法がある場合は、奇妙なスクリプトファイルがあるかどうかを確認します。
不審なユーザーがいないか確認してください。/etc/passwd、/etc/group、/etc/sudoers、/etc/shadow(chatr + ai)などのユーザー情報ファイルをロックし
たり、iptablesを使用したり、/ etc /hosts.denyや/を設定したりできます。 etc /hosts.allowでホワイトリストを設定ping禁止設定:echo 1> / proc / sys / net / ipv4 / icmp_echo_ignore_all
最後に、複雑なパスワードとsshポートを変更した後、再起動してしばらくの間、トロイの木馬がまだ存在するかどうかを確認します。再び見つかりませんでしたが、完全に解決されました。