VestaCP,本站推荐的web管理面板,现在被爆出漏洞,下面是检测、清除方法。
所有命令均在SSH下运行:
1、首先确定是否被黑客入侵。
find /etc -name gcc.sh -print
如果显示 /etc/cron.hourly/gcc.sh ,表示已被种了木马。
2、如果种了木马,备份所有数据
3、阻止gcc.sh
chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh; chattr +i /etc/crontab
4、寻找木马
它有两个版本:一个称为update,第二个(更新)为随机生成的名称(如 ahzihydns,rangqpbjp)。
a、使用lsof寻找update木马
lsof -n |grep /tmp/update
update 31116 root txt REG 253,2 625611 146301 /tmp/update
update 31116 31124 root txt REG 253,2 625611 146301 /tmp/update
update 31116 31125 root txt REG 253,2 625611 146301 /tmp/update
update 31116 31126 root txt REG 253,2 625611 146301 /tmp/update
类似update这样的进城,停止掉他们
kill -STOP 31116
然后删除他们
rm /tmp/update
最后kill掉他们
kill -9 31116
如果存在 /etc/init.d/update,删除。
最后,删除/lib/libudev.so
rm /lib/libudev.so
b、删除随机的木马
这个比较难,先检查 usr/bin中是否有可以进程
# ls -lt /usr/bin | head -20
итого 171828
-rwxr-xr-x 1 root root 625622 апр 4 00:01 xmpwotmqnr
-rwxr-xr-x 1 root admin 625633 апр 3 23:55 lluoohrpal
[...]
类似这样的进程,让我们尝试停止和删除进程。
kill -STOP `lsof -n | egrep "625622|625633" | grep -v deleted| awk '{print $2}' | uniq`
查看要删除的文件列表:
# lsof -n | egrep "625622|625633"
xmpwotmqn 1120 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr
xmpwotmqn 1120 1169 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr
xmpwotmqn 1120 1170 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr
xmpwotmqn 1120 1171 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr
删除/usr/bin/xmpwotmqnr,/usr/bin/lluoohrpal,还有/lib/libudev.so。
先停止先前的进程:
kill -9 `lsof -n | egrep "625622|625633" | awk '{print $2}' | uniq`
检查/etc/init.d下是否有留下一些恶意代码。比如:
-rwxr-xr-x 1 root admin 323 апр 3 23:55 xbzrqmaaqo
-rwxr-xr-x 1 root admin 323 апр 3 23:55 xdphzejxlx
-rwxr-xr-x 1 root admin 323 апр 3 23:55 xdzluubldx
如果有很多这样的文件,可通过find找到它们,然后删除
find /etc/init.d/ -type f -size 323c -delete
-rwxr-xr-x 1 root admin 323 апр 3 23:55 xgqggmacwf
-rwxr-xr-x 1 root root 323 апр 8 13:50 xmpwotmqnr
5、使用clamav检查
Centos安装clamav
yum install clamav
Debian / Ubuntu安装clamav
apt-get install clamav
然后,开始扫描
clamscan -r -i /
6、最后,还是建议登录IP使用指定IP。
via:https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/
-
所有主机信息仅是为及时分享并收录,不做推荐!