加载中…
正文 字体大小:

linux服务器被黑客注入cupsdd程序

(2014-03-25 15:57:00)
公司的RHEL服务器最近发送大量的包,经过查找逐步认为是被tomcat漏洞注入了黑客程序,超找办法

查找/etc/rc3.d目录发现异常链接文件
lrwxrwxrwx 1 root root 25 03-08 01:35 S97DbSecuritySpt -> /etc/init.d/DbSecuritySpt

打开该指向文件发现执行cupsadd二进制文件
# more DbSecuritySpt
#!/bin/bash
/etc/cupsdd

通过chkconfig查找自启动的异常服务chkconfig --list
查找到cups异常服务

同时查找开机启动文件rc.local寻找到下面异常启动
cd /etc;./ksapdd
cd /etc;./kysapdd
cd /etc;./atddd
cd /etc;./ksapdd
cd /etc;./skysapdd
cd /etc;./xfsdxd


应该是被黑客攻击写入一些启动文件,内网发送大量的垃圾包。

临时处理办法是
1)删除服务 chkconfig --del cups

2)删除rc.local启动文件,并rm-rf 删除这些ksapdd类似文件

3)删除/etc/cupsdd 等文件
执行rm -rf cupsdd
rm: 无法删除 “cupsdd”: 不允许的操作

被黑客使用了禁止文件删除,需要对文件进行修改去掉禁止删除删除
chattr -i cupsdd
rm -rf cupsdd

chattr -i cupsddh
rm -rf cupsddh

chattr -i cups
rm -rf cups

然后reboot重启

最后需要升级tomcat程序,打上struts2漏洞补丁。



三灯
2014.03.25

0

阅读 评论 收藏 转载 喜欢 打印举报
前一篇:Linux tcpdump
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

    < 前一篇Linux tcpdump
      

    新浪BLOG意见反馈留言板 不良信息反馈 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有