从今天早上开始,我开始注意到我的 Linux/mageia 6 速度变慢了。
我以 root 用户身份使用
topxm64invitado我多次终止该进程,然后它突然又开始了。可疑的是,没有人以访客用户(invitado)身份登录,计算机的唯一真实用户是我。
由于
invitadoxm64删除该用户后,
xm64我使用
grep -ri xm64 /var/log现在我正在安装
clamavmaldetect我在谷歌上搜索,没有发现任何与 xm64 linux 相关的内容,但是当我只查找 xm64 时,我找到了有关 Windows XM64.EXE 上的木马病毒的信息。
这是我开始使用 Linux 25 年来第一次怀疑我的 Linux 机器被感染了。
我责怪自己,因为我使用字典密码创建了该来宾用户......我保证再也不会这样做。
有人可以确认一下这是否是 Linux 上的恶意软件或者这是另一个问题吗?
今天静下心来,查到资料有:
[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#
现在我有 /tmp/.zx/xm64 的副本
我将该信息上传到 https://www.clamav.net/reports/malware/
我还发现了 /tmp/.zx 其他脚本和二进制文件:
[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64
当我修改 crontab spool 时我发现:
[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado
* * * * * /tmp/.zx/update >/dev/null 2>&1
因此木马每分钟都会运行更新脚本,其中显示:
[root@tarfful spool]# cat /tmp/.zx/update
#!/bin/bash
DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep
if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi
exit 0
为了删除木马,我以 root 用户身份执行了以下步骤:
ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx
我有相同的木马,它位于系统的两个位置。
/tmp
/var/tmp
除了xm64之外,顶部还运行了“goauto”程序,用于自动启动“dtsm”程序,这似乎是一个挖矿工具,但我不确定。
它已将 cronjob-lines 放置在 /var/spool/cron 文件夹内的 multiple crontab 文件中,因此请务必检查全部。
我做了以下事情:
看来问题已经解决了。
我现在正在运行 clamscan 来完成其余的清理工作(如果有的话),并且必须首先弄清楚它是如何最终出现在服务器上的。
我遇到了和你一样的木马,但它有一个java文件而不是xm32和xm64,仍然不知道它第一次是如何启动的,因为删除cronjob后,无论我如何重新启动系统,它都不会再启动。我想知道您是否了解这个正在运行的进程正在做什么及其目的是什么。
谢谢你帮我判断这是什么节目! :)
total 7640
-rwxr-xr-x 1 329 11月 14 18:48 a
-rw-r--r-- 1 6 4月 21 12:47 bash.pid
-rw-r--r-- 1 46 4月 16 20:35 cron.d
-rw-r--r-- 1 16 4月 16 20:35 dir.dir
-rwxr-xr-x 1 15125 3月 10 2015 h32
-rwxr-xr-x 1 838583 2月 21 2016 h64
-rwxr-xr-x 1 6936216 10月 18 2023 java
-rwxr-xr-x 1 440 11月 15 17:24 run
-rwxr-xr-x 1 194 4月 16 20:35 upd
-rwxr-xr-x 1 24 4月 16 20:35 x