Linux木马pscan2查找与清除步骤

linux  /  管理员 发布于 5年前   121

一、现象

AH现场的程序是分布式部署，除了程序的配置文件不同外，并无其他不同。最近地市sz频繁发生工单处理错误的故障，而其他地市运行一直很稳定。

二、 因此，对sz的主机进行了检查，步骤如下：
1、重启应用，发现应用的端口3456已经被占用，通过命令 lsof -i:3456 ，发现是用户tel的进程占用了该端口。
2、通过命令ps，发现用户tel的进程熟非常多，但在我们的系统中，并未创建过用户tel。
3、使用top命令，结果如下：

top - 09:58:54 up 524 days, 14:31, 4 users, load average: 3.44, 4.98, 5.75
Tasks: 1715 total, 7 running, 1699 sleeping, 0 stopped, 9 zombie
Cpu(s): 23.3% us, 12.3% sy, 0.0% ni, 64.4% id, 0.0% wa, 0.0% hi, 0.0% si
Mem: 4147208k total, 2740256k used, 1406952k free, 23976k buffers
Swap: 4079600k total, 779100k used, 3300500k free, 638748k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
24201 tel 25 0 1468 476 396 R 100 0.0 0:58.78 pscan2
24510 root 17 0 4336 1916 760 R 4 0.0 0:00.30 top
发现tel用户的进程pscan2，占用CPU资源达到100%，通过网上查找资料，发现pscan2是一个老美的木马，他重要特征是占用CPU非常大。
因此推断：主机被攻破，并被植入木马pscan。

三、查找木马pscan2

用root帐号su到tel，查看该用户目录，发现一个隐藏目录，名称是 “...” ，哦，名字比较迷惑人
，稍一大意就可能看不到，呵呵。进入目录查看，木马程序pscan2就是植入到这个目录下了。
#ls -al
总用量 84
drwx------ 5 503 503 4096 8月 24 10:26 .
drwxr-xr-x 4 root root 4096 2007-08-30 ..
drwxrwxr-x 6 503 503 4096 8月 24 09:54 ...
-rw------- 1 503 503 6936 8月 24 10:45 .bash_history
-rw-r--r-- 1 503 503 24 2006-11-03 .bash_logout
-rw-r--r-- 1 503 503 191 2006-11-03 .bash_profile

四、清除木马pscan，步骤如下：

1、删除用户tel所有进程
#pkill -9 -U tel
2、删除用户tel
#userdel tel
3、删除用户组时报错
#groupdel tel
groupdel: cannot remove user's primary group.
4、查找passwd、group文件，发现仍然有个用户bossnm属于tel用户组
group文件存在如下一行，其中503是用户组ID
tel:x:503:
在passwd中存在如下一行，其中503表示这个用户属于组ID为503的用户组
bossnm:x:500:503::/export/home/bossnm
5、删除bossnm用户及tel用户组
#userdel bossnm
#groupdel tel
6、删除tel用户下所有的木马文件

经过处理，系统已经恢复正常。