Linux运维笔记:服务器感染 netools 病毒案例

文章目录

    • 背景
    • 排查过程
      • [1. 发现异常](#1. 发现异常)
      • [2. 检测隐藏进程](#2. 检测隐藏进程)
      • [3. 尝试终止进程](#3. 尝试终止进程)
      • [4. 深入分析进程](#4. 深入分析进程)
    • 处理步骤
      • [1. 禁用 Cron 任务](#1. 禁用 Cron 任务)
      • [2. 删除恶意文件](#2. 删除恶意文件)
      • [3. 终止恶意进程](#3. 终止恶意进程)
      • [4. 重启系统](#4. 重启系统)
    • 注意事项
    • 总结

提示 :本文记录了一起 Linux 服务器感染恶意软件(疑似挖矿病毒)的排查与处理过程,涉及隐藏进程 netools、恶意脚本 /bin/tDLzoNS7 及 Cron 持久化机制。希望对遇到类似问题的读者有所帮助!

背景

最近实验室服务器(ccccs-Z790-UD-AX)经常发生进程崩溃问题,使用 htop 命令发现其 32 个 CPU 线程总是被完全占用,但未显示相关进程,怀疑系统感染了病毒。结合 unhide proc 检测到的隐藏进程 /tmp/netools 和恶意脚本 /bin/tDLzoNS7,确认系统存在恶意软件。

本文将详细介绍病毒排查、分析、处理步骤及注意事项。

排查过程

1. 发现异常

通过 htop 观察到 CPU 占用率异常高,但未找到明显的高负载进程。初步怀疑是隐藏进程导致,可能是挖矿病毒或 rootkit。

2. 检测隐藏进程

使用 unhide proc 命令扫描隐藏进程,输出如下:

plaintext 复制代码
Found HIDDEN PID: 3010499
    Cmdline: "<none>"
    Executable: "<no link>"
    "<none> ... maybe a transitory process"

Found HIDDEN PID: 3010501
    Cmdline: "/tmp/netools"
    Executable: "/tmp/netools"
    Command: "netools"
    $USER=<undefined>
    $PWD=/root
...
Found HIDDEN PID: 3010698
    Cmdline: "/tmp/netools"
    Executable: "/tmp/netools"
    Command: "netools"
    $USER=<undefined>
    $PWD=/root
  • 分析
    • 检测到大量以 /tmp/netools 命名的隐藏进程(PID 3010501 至 3010698),以 root 权限运行。
    • 进程路径为 /tmp/netools,表明恶意软件可能在临时目录中运行。
    • PID 3010499 显示 <none>,可能是短暂进程或 rootkit 隐藏。

3. 尝试终止进程

尝试使用 kill -9 <PID> 终止 netools 进程,但 CPU 占用很快恢复,表明存在持久化机制(如 Cron 或服务)重启进程。

4. 深入分析进程

多次使用 ps aux --sort=-pcpu | head -10 以及 ps -aux | grep netools查看高 CPU 占用进程后,发现可疑进程:

plaintext 复制代码
root     3024733  0.2  0.0  12580  3288 ?        S    10:30   0:00 /bin/tDLzoNS7 -c ...
  • 命令行内容(部分):

    bash 复制代码
    #!/bin/bash
    crontab -r >/dev/null 2>&1
    ps aux | grep -vw 'xmr-stak\|ld-linux.so.2' | awk '{if($3>40.0) print $2}' | while read procid; do kill -9 $procid; done
    ufw disable >/dev/null 2>&1
    iptables -P INPUT ACCEPT 2>/dev/null
    iptables -P OUTPUT ACCEPT 2>/dev/null
    iptables -P FORWARD ACCEPT 2>/dev/null
    iptables -F 2>/dev/null
    chattr -i /usr/sbin/ /usr/bin/ /bin/ /usr/lib /usr/lib64 /usr/libexec /etc/ /tmp/ /sbin/ /etc/resolv.conf
    chattr -i /etc/cron.d/systeml /etc/cron.weekly/systeml /etc/cron.hourly/systeml /etc/cron.daily/systeml /etc/cron.monthly/systeml
    chattr -ia /etc/ld.so.preload
    cat /dev/null > /etc/ld.so.preload
    ...
  • 通过 grok 的脚本行为分析

    1. 终止高 CPU 进程 :杀死 CPU 占用超过 40% 的进程(排除 xmr-stak 等挖矿相关进程),可能为掩盖自身活动。
    2. 禁用防火墙 :禁用 ufw 和清空 iptables 规则,开放所有网络流量。
    3. 移除文件保护 :使用 chattr -i 解除关键目录和文件的不可变属性,便于修改。
    4. 动态文件名
      • 检查 /usr/lib/systemd/previous_filenames1/usr/lib/systemd/previous_filenames2,读取上次使用的随机文件名。
      • 若文件不存在,生成随机文件名(如 /bin/<random_string>),保存至上述文件。
      • 重命名 x86_64i386 文件为随机名称,存储在 /bin/
    5. 持久化运行
      • 将恶意文件复制到 /tmp/netools/tmp/neo,并赋予执行权限。
      • 检查 /bin/.locked 中的 PID,若进程未运行,则启动 /tmp/netools --tls
      • 更新 /bin/.locked 中的 PID,确保单实例运行。
    6. 清理痕迹 :终止 foldcattr 等辅助进程,隐藏活动。
  • 结论/bin/tDLzoNS7 是恶意脚本,负责启动 /tmp/netools,疑似挖矿病毒,具备防火墙规避、文件保护解除和动态文件名伪装功能。

处理步骤

1. 禁用 Cron 任务

  • 目标:阻止恶意脚本通过 Cron 重启。
  • 步骤
    • 编辑 /etc/crontab

      bash 复制代码
      sudo nano /etc/crontab
    • 注释掉周期性任务:

      plaintext 复制代码
      # 17 *  * * *   root    cd / && run-parts --report /etc/cron.hourly
      # 25 6  * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
      # 47 6  * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
      # 52 6  1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
    • 检查其他 Cron 目录:

      bash 复制代码
      ls -la /etc/cron.*/*
      • 发现可疑文件 /etc/cron.hourly/nek3MFYw,内容为:

        plaintext 复制代码
        */1 * * * * root /bin/tDLzoNS7 1 1
    • 将这些行都注释掉 或者 删除可疑 Cron 文件:

      bash 复制代码
      	cat /etc/cron.daily/GxKvnjSb
         # /1     root /bin/tDLzoNS7 1 1

2. 删除恶意文件

  • 目标:移除恶意可执行文件和相关组件。
  • 步骤
    • 删除 /bin/tDLzoNS7

      bash 复制代码
      sudo chattr -i /bin/tDLzoNS7
      sudo rm -f /bin/tDLzoNS7
    • 检查 /usr/lib/systemd/previous_filenames1/usr/lib/systemd/previous_filenames2

      bash 复制代码
      cat /usr/lib/systemd/previous_filenames1
      cat /usr/lib/systemd/previous_filenames2
      • 假设内容为 XXX,删除相关文件:

        bash 复制代码
        sudo chattr -i /bin/XXX /tmp/XXX /tmp/neo
        sudo rm -f /bin/XXX /tmp/XXX /tmp/neo
    • 清理 /tmp/dev/shm

      bash 复制代码
      sudo rm -f /tmp/netools /dev/shm/netools
    • 验证删除:

      bash 复制代码
      ls -l /bin/lRrlrT3D /tmp/netools /tmp/neo /bin/XXX

3. 终止恶意进程

  • 目标 :停止 netools 和相关进程。
  • 步骤
    • 杀死进程:

      bash 复制代码
      sudo kill -9 19871 19872 19873 19874 19875 19919 19...
    • 验证:

      bash 复制代码
      htop

      显示 cpu 资源正常

4. 重启系统

  • 命令

    bash 复制代码
    sudo reboot
  • 注意

    • 重启过程中发现终端无法访问,原因是 /dev 目录文件被删除(可能由病毒或误操作导致)。
    • 重启后 /dev 文件自动恢复,终端访问正常。

注意事项

  1. 感染源

    • 此次病毒很可能可能通过不正规的软件包引入,需严格审查下载来源。

    • 检查近期安装的软件:

      bash 复制代码
      dpkg -l | grep <suspicious_name>
  2. 持久化机制

    • 定期检查 Cron 任务和系统文件:

      bash 复制代码
      crontab -l
      ls -la /etc/cron.*/*
  3. 防火墙恢复

    • 重新启用防火墙(重启后系统已自动恢复):

      bash 复制代码
      sudo apt install ufw
      sudo ufw default deny
      sudo ufw allow 22
      sudo ufw enable
  4. 系统安全

    • 更新系统:

      bash 复制代码
      sudo apt update && sudo apt upgrade

总结

本次病毒感染涉及隐藏进程 /tmp/netools 和恶意脚本 /bin/tDLzoNS7,通过 Cron 任务实现持久化,疑似挖矿病毒。处理过程包括禁用 Cron、删除恶意文件、终止进程和系统重启。建议加强软件来源管理、定期扫描和防火墙配置,以防止类似事件。

如果您遇到类似问题,可参考本文步骤,并及时联系网络管理员或安全团队。

相关推荐
Johny_Zhao3 小时前
Docker + CentOS 部署 Zookeeper 集群 + Kubernetes Operator 自动化运维方案
linux·网络安全·docker·信息安全·zookeeper·kubernetes·云计算·系统运维
小毛驴8504 小时前
Linux 后台启动java jar 程序 nohup java -jar
java·linux·jar
诗句藏于尽头4 小时前
完成ssl不安全警告
网络协议·安全·ssl
一心0925 小时前
ubuntu 20.04.6 sudo 源码包在线升级到1.9.17p1
运维·ubuntu·sudo·漏洞升级
好好学习啊天天向上5 小时前
世上最全:ubuntu 上及天河超算上源码编译llvm遇到的坑,cmake,ninja完整过程
linux·运维·ubuntu·自动性能优化
你想考研啊5 小时前
三、jenkins使用tomcat部署项目
运维·tomcat·jenkins
tan180°6 小时前
MySQL表的操作(3)
linux·数据库·c++·vscode·后端·mysql
代码老y6 小时前
Docker:容器化技术的基石与实践指南
运维·docker·容器
典学长编程6 小时前
Linux操作系统从入门到精通!第二天(命令行)
linux·运维·chrome
wuk9986 小时前
基于MATLAB编制的锂离子电池伪二维模型
linux·windows·github