十一长假归来,发现自己负责的一台linux机器负载极重,有个由web server用户执行的update占了很多资源。原来染了蠕虫病毒 :-( 名称是Linux/Slapper.worm b类和c类变种("扇linux嘴巴者"?恶毒&(
它通过openssl的缓冲区溢出漏洞工作,先对80口用一个无聊的GET扫描B类网段,发现来自apache的回应后就对443口 (https)进行缓冲区溢出攻击,并以apache的身份下载其源文件,用系统自带的gcc来编译运行并且在文件系统里到处找可写的目录去复制自己:-( 除了运行时占很多资源和给cinik_worm@yahoo.com 发系统资料,还会开udp口接收指令,对其它机器进行dos攻击什么的...
检测办法:
1. ps aux|grep update
如果有这个进程,并且是由apache的用户执行的,就是它的c类变种。
2. ls -al /tmp |grep .cinik
如果有这个文件,说明感染了b类变种。
3. 如果有.bugtraq文件,说明感染了a类变种。
另外也可以看看端口:
netstat -an
a类变种监听UDP 的 2002 口
b类变种监听UDP 的 1978 口
c类变种监听UDP 的 4156 口
所幸,下载病毒源码的网站已经被封了。
杀毒办法:
杀掉它的所有进程;比如 killall .cinik update devnull;
删掉它的所有文件:比如 find / -name .cinik -exec rm -fr {} \;
查看crontab 任务,删掉病毒添加的内容(logrotate可能有问题);
亡羊补牢措施:限制gcc的使用权限:chmod o-x /usr/bin/gcc;
去www.openssl.org下载新的openssl并编译安装;
重新编译所有用到openssl的程序 :-(
大致如此了,如有错误清指出,欢迎高手指教。
详细信息有些遗漏,请看symantec的原版信息:http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html