今天处理了一个非常疯狂的linux蠕虫病毒。某linux服务器疯狂发包,ssh连入后,iftop查看端口流量,基本最少也得10MB/s,找到发包进程,两个进程互相监控,一旦kill掉一个,另一个马上会重新生成一个新的。pstree显示互为父进程。把两个进程杀掉后,删除病毒文件。结果一会儿又生成一对。再看,原来进程中还有一个perl不断连接远程6666端口,update最新的病毒版本。干掉这3个进程,流量终于下来了。系统日志全部关闭,无从查找原因。初步判断是通过strust感染进来的。第6感又一次准确无误。将日志模式打开。下午发现病毒程序又一次不请自来。名字也改了,换了一套新马甲。grep wget *.log,果然发现利用了 s12-020进来。修补,清痕迹,备病毒文件以备分析,打完收工。病毒远控与更新地址60.174.234.107,iptables drop掉。剩下的就是享受病毒分析和吃掉这个病毒窝子了。
另外,现在的国内dns污染真是厉害,还是用 用opendns的解决方案dnscrpt吧:http://www.opendns.com/about/innovations/dnscrypt/
没有评论:
发表评论