我在 /var/spool/cron/apache 發現裡面被放了後門程式

* /15 * * * * /var/tmp/SWakZsRJ > /dev/null 2>&1

它就是最近新聞提到的在 FreeBSD 上的寄垃圾信件程式,perl 包成 ELF 檔案,它的活動也已存在多年了

它在我這邊沒有效用,因為我 /tmp 有設定 noexec,所以無法被執行

而且我玩了一下它,但似乎 在 CentOS 上無法 work 吧,沒什麼動作,可能真得需要為 FreeBSD 系統吧

封包也只有這樣子

12:03:31.312208 IP 10.10.10.137.40576 > 163.81.54.194.static.server.ua.http: Flags [S], seq 1684999090, win 14600, options [mss 1460,sackOK,TS val 2827315391 ecr 0,nop,wscale 7], length 0
12:03:31.634882 IP 163.81.54.194.static.server.ua.http > 10.10.10.137.40576: Flags [R.], seq 0, ack 1684999091, win 0, length 0     

IP 確實如同 惡意軟件Linux/Mumblehard分析 提到 194.54.xx 的範圍

上傳到 virustotal 也確實是病毒了

Linux/Mumblehard

最後修改日期: 2015 年 05 月 07 日

作者

留言

daniel.wc.tai 

Dear 謝謝您的抽空協助我今天會認真檢查一下,非常感謝您喔~

[Reply]

daniel.wc.tai 

您好:我在伺服器也發現這個而且他不斷的產生,請問是否有辦法完整清除?

[Reply]

cross Reply:

你可以 ps axjf 查看行程,你應該是沒有砍到 主行程,所以才會不斷產生,還有程式也要先行刪除(/tmp 下)、排程 (cron)

[Reply]

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。