2.中毒現象
中毒機器大量向外傳送資料報,導致機房網路出現嚴重丟包,
所有被感染的目錄和檔案:
/etc/init.d/selinux
/etc/init.d/dbsecurityspt
/etc/rc[1-5].d/s99selinux
/etc/rc[1-5].d/s97dbsecurityspt
/usr/bin/bsd-port
/tmp/gate.lod
/tmp/moni.lod
/usr/bin/dpkgd
/usr/bin/.sshd
tomcat主目錄下conf.n和可執行檔案lf
木馬檔案本身會生成多個拷貝,還有可能轉移到其他目錄,
確定是否為同乙個檔案拷貝的方法是計算檔案的md5值:
md5sum ***.file
3.排查木馬所用到的指令
ps lsof
netstat
strings
md5sum
rpm -va
chattr +i
4.解決方法
首先需要做的就是斷掉網路,如果是在生產環境中的機器不可斷網的應該封掉
不必要的埠,僅留必要的埠(一般為80和22)。
然後嘗試著查詢木馬資訊,發現在/etc/init.d目錄下多了dbsecurityspt和selinux兩個檔案
開啟檔案可以看到木馬可執行檔案所在目錄。
通過ps -ef 找到程序pid,然後利用 lsof -p 檢視程序開啟的所有檔案資訊,並嘗試著殺掉程序
並刪除這些開啟的檔案,但不出所料,檔案刪除後還會重新生成。
木馬程序執行時會將其pid記錄在/tmp/gates.lock檔案中,因此嘗試著修改該檔案的屬性:
chattr +i /tmp/gates.lock
然後再殺掉程序,刪除相關檔案,自此,木馬程序不再啟動。
但這畢竟只是暫時解決方案,木馬自動生成的機制仍然無所知,暫時記錄至此。
每日一記,養成記錄的習慣
每個事物都有她在時間維度上的軌跡,當我們在適當的節點上留下一些痕跡,時間的軌跡就變得有形。養成作些記錄的習慣,是有必要而且非常有意義的。記錄的方式有很多,幾乎有日曆功能的地方就有記事備忘的功能,我們的辦公系統也必然有日誌記錄功能。這些功能為我們作筆記或者說留下痕跡提供了很大的便利,可以好好加以利用。...
linux上安裝svn一記
本文是對不足之處,加以改進,並且對容易出錯的地方加以說明。實現真正的所見既所得安裝 一 原始檔編譯安裝。原始檔共兩個 subversion 1.6.1.tar.gz subversion deps 1.6.1.tar.gz 注意 兩個檔案版本必須一致,否則很容易產生問題.二 解壓檔案,並編譯配置 s...
2013 4 22每日一記
在沒有把乙個完整的東西弄明白之前,都叫做每日一記吧。關於小波,它是由傅利葉變換得來的,乙個向量或者叫作函式或者訊號,在時域上區域性發生改變,其整個頻譜都將改變,同樣將頻域上的區域性發生改變,則整個時域上的訊號也將發生改變,所以傅利葉對於奇異點和訊號區域性的處理非常困難。所以有了視窗傅利葉變換,視窗傅...