通过日常检查,发现某服务器上有不明进程与外部通信。使用了perl 作为运行环境。
首先更新部分软件包,防止部分系统命令已被篡改。
yum update lsof procps -y
lsof -i -Pn | grep perl
通过查找到pid
lsof -p pid
查找到该程序启动目录,以及相应程序。
安装clamav 通过使用clamav 对其扫描
/usr/local/clamav/bin/clamscan --infected -r /tmp -l /var/log/clamscan.log
得出其属于恶意程序
/tmp/b17z.tar: Unix.Malware.Agent-1845690 FOUND
删除及杀掉相应进程后,后续观察后仍然发现不明进程与外部通信。
[root@xxx ~]# lsof -p xxxpid COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME b 15825 www cwd DIR 8,2 0 336856147 /tmp/.b17z (deleted) b 15825 www rtd DIR 8,2 4096 2 / b 15825 www txt REG 8,2 945732 336856148 /tmp/.b17z/b (deleted) b 15825 www 0r REG 8,2 1200 336856193 /tmp/.b17z/d.php (deleted) b 15825 www 1w FIFO 0,8 0t0 1021617137 pipe b 15825 www 2w FIFO 0,8 0t0 1020513194 pipe b 15825 www 3r REG 8,2 50 336856185 /tmp/.b17z/p (deleted) b 15825 www 4r REG 8,2 921683 336856201 /tmp/.b17z/i (deleted) b 15825 www 8u REG 8,2 0 336856133 /tmp/ZCUDBzxXVC (deleted)通过使用该命令观察,发现该恶意程序一直存活,并不停更新pid
lsof -i tcp -Pn|grep b |awk '{print $2}'|xargs -i lsof -p {}
ps axf
查找其父进程
ps -ef |grep `lsof -i tcp -Pn|grep b |awk '{print $2}'`
发现其父进程与 httpd 相关,检查 httpd 进程 确定部分进程关联/tmp/ZCUDBzxXVC 疑似该恶意程序通过 httpd 漏洞注入系统。
更新 httpd 版本。
整体处理过程充分体现了我的菜鸟程度,在摸索的过程中耗费了大量时间。
转载于:https://www.cnblogs.com/volqiu/p/6772880.html
相关资源:数据结构—成绩单生成器