记一次Linux服务器上查杀木马经历

开篇前言

Linux服务器一直给我们的印象是安全、稳定、可靠，性能卓越。由于一来Linux本身的安全机制，Linux上的病毒、木马较少，二则由于宣称Linux是最安全的操作系统，导致很多人对Linux的安全性有个误解：以为它永远不会感染病毒、木马；以为它没有安全漏洞。所以很多Linux服务器都是裸奔的。其实在这次事件之前，我对Linux的安全性方面的认识、重视程度也是有所不足的。系统的安全性是相对而言的，没有绝对的安全，风险无处不在。

案例描述

我们在云端（中信国际电讯CPC)的一台Linux 应用服务器时不时出现网络中断情况，最开始反馈到系统管理员和网络管理员哪里，以为是网络方面的问题。在监控系统后，发现在一些时间段出现高流量的情况，分析发现这台Linux服务器只安装了Tomcat应用程序，没有任何其它应用程序。产生如此大的流量很不正常，而且出现网络中断的时刻，就是系统产生高流量的时刻。当然这些都是我后来才了解到的一些情况，我没有这台服务器的权限，系统管理员找我看看能分析出啥问题，所以将root账号权限给了我。

案例分析

我连接到服务器后，运行ifconfig命令，检查网卡的发送、接收数据情况，如下所示，网卡eth0累计发送了12.3TB的数据。这明显不太正常，显然有应用程序一直在往外发包。我特意对比了另外一台正常的服务器后，验证了这个事实。

那么是那个应用程序在一直往外发送包呢？ 我首先检查了Linux系统日志，发现了一些错误、告警信息。但是作用不大。于是在服务器上安装了NetHogs应用程序，实时监控Linux进程的网络带宽占用情况。

监控过程确实发现了一些异常情况的进程：

1：/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys 一直在往外发包

2：/usr/bin/bsd-port/agent 一直在往外发包。

3：./cmys一直在往外发包

4：不时出现下面大量异常进程

[root@LNX17 /]# ps -ef | grep getty

root 2012 1 0 May22 tty2 00:00:00 /sbin/mingetty /dev/tty2

root 2014 1 0 May22 tty3 00:00:00 /sbin/mingetty /dev/tty3

root 2018 1 0 May22 tty4 00:00:00 /sbin/mingetty /dev/tty4

root 2020 1 0 May22 tty5 00:00:00 /sbin/mingetty /dev/tty5

root 2022 1 0 May22 tty6 00:00:00 /sbin/mingetty /dev/tty6

root 13835 32735 0 01:02 pts/0 00:00:00 grep getty

[root@LNX17 tmp]# ll /usr/bin/bsd-port/

total 2324

-rwxr-xr-x. 1 root root 1135000 Jul 17 08:28 agent

-rwxr-xr-x. 1 root root 4 Jul 17 08:28 agent.conf

-rw-r--r--. 1 root root 27 Jul 21 12:42 cmd.n

-rw-r--r--. 1 root root 73 Aug 21 21:30 conf.n

-rwxr-xr-x. 1 root root 1223123 Aug 21 04:08 getty

-rwxr-xr-x. 1 root root 5 Aug 21 04:08 getty.lock

搜索/usr/bin/bsd-port/agent等进程相关资料，发现很多关于木马、后门方面的文章，严重怀疑服务器被挂马了。手工杀进程或手工删除/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys文件，发现不过一会儿，又会出现相同的进程和文件。于是下载安装了AVG ANTIVIRUS FREE - FOR LINUX这款杀毒软件，但是启动服务失败，不想折腾，于是安装了ClamAV 杀毒软件

ClamAV介绍

ClamAV是一个在命令行下查毒软件，因为它不将杀毒作为主要功能，默认只能查出您计算机内的病毒，但是无法清除，至多删除文件。ClamAV可以工作很多的平台上，但是有少数无法支持，这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外，这是一个面向服务端的软件。

下载ClamAV安装包

ClamAV的官方下载地址为http://www.clamav.net/download.html 我直接使用wget下载源码安装文件。

[root@LNX17 tmp]# wget http://nchc.dl.sourceforge.net/PRoject/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

--2015-08-21 21:58:36-- http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

Resolving nchc.dl.sourceforge.net... 211.79.60.17, 2001:e10:ffff:1f02::17

Connecting to nchc.dl.sourceforge.net|211.79.60.17|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 14765896 (14M) [application/x-gzip]

Saving to: “clamav-0.97.6.tar.gz”

100%[==============================================================>] 14,765,896 652K/s in 71s 

2015-08-21 21:59:48 (204 KB/s) - “clamav-0.97.6.tar.gz” saved [14765896/14765896]

[root@LNX17 tmp]# wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

--2015-08-21 22:00:24-- http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

Resolving nchc.dl.sourceforge.net... 211.79.60.17, 2001:e10:ffff:1f02::17

Connecting to nchc.dl.sourceforge.net|211.79.60.17|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 560351 (547K) [application/x-gzip]

Saving to: “zlib-1.2.7.tar.gz”

100%[=============================================================>] 560,351 287K/s in 1.9s 

2015-08-21 22:00:26 (287 KB/s) - “zlib-1.2.7.tar.gz” saved [560351/560351]

1、zlib-1.2.7.tar.gz安装

[root@LNX17 tmp]# tar xvzf zlib-1.2.7.tar.gz

[root@LNX17 tmp]# cd zlib-1.2.7

[root@LNX17 zlib-1.2.7]# ./configure 

Checking for gcc...

Checking for shared library support...

Building shared library libz.so.1.2.7 with gcc.

Checking for off64_t... Yes.

Checking for fseeko... Yes.

Checking for strerror... Yes.

Checking for unistd.h... Yes.

Checking for stdarg.h... Yes.

Checking whether to use vs[n]printf() or s[n]printf()... using vs[n]printf().

Checking for vsnprintf() in stdio.h... Yes.

Checking forreturn value of vsnprintf()... Yes.

Checking for attribute(visibility) support... Yes.

Looking for a four-byte integer type... Found.

[root@LNX17 zlib-1.2.7]# make && make install

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o example.o test/example.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o adler32.o adler32.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o crc32.o crc32.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o deflate.o deflate.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o infback.o infback.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inffast.o inffast.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inflate.o inflate.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inftrees.o inftrees.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o trees.o trees.c