一、现象
AH现场的程序是分布式部署,除了程序的配置文件不同外,并无其他不同。最近地市sz频繁发生工单处理错误的故障,而其他地市运行一直很稳定。
二、 因此,对sz的主机进行了检查,步骤如下:
1、重启应用,发现应用的端口3456已经被占用,通过命令 lsof -i:3456 ,发现是用户tel的进程占用了该端口。
2、通过命令ps,发现用户tel的进程熟非常多,但在我们的系统中,并未创建过用户tel。
3、使用top命令,结果如下:
top - 09:58:54 up 524 days, 14:31, 4 users, load average: 3.44, 4.98, 5.75
Tasks: 1715 total, 7 running, 1699 sleeping, 0 stopped, 9 zombie
Cpu(s): 23.3% us, 12.3% sy, 0.0% ni, 64.4% id, 0.0% wa, 0.0% hi, 0.0% si
Mem: 4147208k total, 2740256k used, 1406952k free, 23976k buffers
Swap: 4079600k total, 779100k used, 3300500k free, 638748k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
24201 tel 25 0 1468 476 396 R 100 0.0 0:58.78 pscan2
24510 root 17 0 4336 1916 760 R 4 0.0 0:00.30 top
发现tel用户的进程pscan2,占用CPU资源达到100%,通过网上查找资料,发现pscan2是一个老美的木马,他重要特征是占用CPU非常大。
因此推断:主机被攻破,并被植入木马pscan。
三、查找木马pscan2
用root帐号su到tel,查看该用户目录,发现一个隐藏目录,名称是 “...” ,哦,名字比较迷惑人
,稍一大意就可能看不到,呵呵。进入目录查看,木马程序pscan2就是植入到这个目录下了。
#ls -al
总用量 84
drwx------ 5 503 503 4096 8月 24 10:26 .
drwxr-xr-x 4 root root 4096 2007-08-30 ..
drwxrwxr-x 6 503 503 4096 8月 24 09:54 ...
-rw------- 1 503 503 6936 8月 24 10:45 .bash_history
-rw-r--r-- 1 503 503 24 2006-11-03 .bash_logout
-rw-r--r-- 1 503 503 191 2006-11-03 .bash_profile
四、清除木马pscan,步骤如下:
1、删除用户tel所有进程
#pkill -9 -U tel
2、删除用户tel
#userdel tel
3、删除用户组时报错
#groupdel tel
groupdel: cannot remove user's primary group.
4、查找passwd、group文件,发现仍然有个用户bossnm属于tel用户组
group文件存在如下一行,其中503是用户组ID
tel:x:503:
在passwd中存在如下一行,其中503表示这个用户属于组ID为503的用户组
bossnm:x:500:503::/export/home/bossnm
5、删除bossnm用户及tel用户组
#userdel bossnm
#groupdel tel
6、删除tel用户下所有的木马文件
经过处理,系统已经恢复正常。
