本文介绍了一种名为“盖茨木马”的病毒,以及如何应对该病毒。文章描述了该病毒的行为和特征,并提供了手动清除木马的过程。
应急场景
网站管理员发现服务器 CPU 资源异常,几个异常进程占用大量网络带宽,top命令查看
事件分析
- 异常 IP连接:
netstat -anplt
- 查看进行发现
ps aux
进程异常,进入该目录发现多个命令,猜测命令可能已被替换
- 登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程
- 进入rc3.d目录可以发现多个异常文件
- 搜索病毒原体(搜索 1223123 大小的文件)
find / -size -1223124c -size +1223122c -exec ls -id {} \;
- 从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见
- http://www.freebuf.com/articles/system/117823.html
- http://www.sohu.com/a/117926079_515168
手动清除木马过程:
- 简单判断有无木马
- 上传如下命令到 /root 下
- 删除如下目录及文件
- 找出异常程序并杀死
- 删除含木马命令并重新安装