小记IptabLes和IptabLex病毒清理过程(1)

 去年有台Linux服务器被黑了，看了500万行日志（现在觉得当时好厉害呀），反正当时的日志文件有700Mb以上大。前两天师兄告诉我，信息中心的老师给他说我们有台服务器应该是被人入侵了，当作内网的跳板，经常对内网中的其他服务器发出攻击的数据。于是我连夜就去服务器上看了。
　　这是我第一次上这个服务器，什么情况都不知道，只知道这个服务器是Linux（尼玛具体是什么发行版都要我去查），上面跑着一个网站。
　　
　　进去之后，先看看是什么发行版的。CentOS6.5,以前都只玩的Ubuntu,换这个上面多多少少还有点陌生的。好了废话不多说了。
 
　　再去看看什么网页吧。cd 

ar/下面，没有看到是www或者htdocs之类的目录，不会是tomcat吧。搜索了一下，果然是。网页内容先不看了，应该是已经提权成功了的。直接就去看看服务器算了。
　　
　　写文章的时候才意识到，我一开始不应该乱看其他的，应该先把.bash_history什么的先备份下才对。算是给自己提一个醒吧。
　　看看passwd和shadow：
 [root@localhost /]# stat /etc/passwd
  File: "/etc/passwd"
  Size: 1723       Blocks: 8          IO Block: 4096   普通文件
Device: fd00h/64768d Inode: 919098      Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2014-09-21 09:32:01.730288306 +0800
Modify: 2014-04-02 09:31:28.469644869 +0800
Change: 2014-04-02 09:31:28.503201786 +0800
[root@localhost /]# stat /etc

adow
  File: "/etc

adow"
  Size: 1177       Blocks: 8          IO Block: 4096   普通文件
Device: fd00h/64768d Inode: 919095      Links: 1
Access: (0000/----------)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2014-09-21 09:40:01.734126039 +0800
Modify: 2014-04-02 09:38:11.473125883 +0800
Change: 2014-04-02 09:38:11.498275087 +0800
看来是4月2号就入侵成功了呀。查看了下/home下的目录，多了一个用户。还是看看passwd吧。
[root@localhost /]#cat /etc

adow
mysql:!!:15791:::::: tomcat:!!:15791:::::: chu:$6$kG9zMTps$7H61NSjXMY3/Jc/tZrJtCuwFn1mhDyWXVg4blFghfLdbQNXr.6Li9tYt5fYVJsIlvwb0z68k/EQXsUljZK6.L0:15793:0:99999:7::: sqzr:$6$yBrvX/HDaim

rK4$uArYMq6Zr2XM7BWTzexC16RI6HGmOp9cs65AgLR.v.yx3rN0M6YzblNCJytGsguFSbsGN18OPpcyrSG63fKKS.:16162:0:99999:7:::
 
passwd就不写出来了。在passwd中，sqzr这个用户后面的和root一样，也就是root权限了。userdel sqzr提示不能删除，当前已经登录，尼玛，这个用户就是给root取了个别名吧。直接修改两个文件，删除这一行。用户就算是清理了。
 
看下进程：
21911 ?        00:00:00 .IptabLex
21917 ?        00:00:00 .IptabLes
29093 ?        00:00:02 prwpodebiq
 
这是什么，第一眼还以为是防火墙，可是多了一个，再一想，Linux下面要区分大小写的，这东西不对劲。
百度了下，发现确实是个病毒，也有其他人中招了。
http://www.xujiansheng.cn/2014/01/linux-viruses-iptablex-iptables/
还有那个prwpodebiq，完全没有意义的进程名，如此大的pid，肯定有问题。
　　
[root@localhost /]# find / -name prwpodebiq -print
/boot/prwpodebiq
/etc/rc.d/init.d/prwpodebiq
[root@localhost /]# cd /boot/
[root@localhost boot]# ll
总用量 19858
-rw-r--r--. 1 root root    97862 5月  20 2011 config-2.6.32-71.el6.x86_64
drwxr-xr-x. 3 root root     1024 3月  27 2013 efi
drwxr-xr-x. 2 root root     1024 3月  27 2013 grub
-rw-r--r--. 1 root root 13419499 3月  27 2013 initramfs-2.6.32-71.el6.x86_64.img
lrwxrwxrwx  1 root root       25 9月  16 22:31 IptabLes -> /etc/rc.d/init.d/IptabLes
lrwxrwxrwx  1 root root       25 9月  16 22:31 IptabLex -> /etc/rc.d/init.d/IptabLex
drwx------. 2 root root    12288 3月  27 2013 lost+found
-rwxr-x---  1 root root   613533 9月  21 21:29 prwpodebiq
-rw-r--r--. 1 root root   160542 5月  20 2011 symvers-2.6.32-71.el6.x86_64.gz
-rw-r--r--. 1 root root  2226490 5月  20 2011 System.map-2.6.32-71.el6.x86_64
-rwxr-xr-x. 1 root root  3791040 5月  20 2011 vmlinuz-2.6.32-71.el6.x86_64 
[root@localhost boot]# stat prwpodebiq
  File: "prwpodebiq"
  Size: 613533          Blocks: 1200       IO Block: 1024   普通文件
Device: 801h/2049d      Inode: 22          Links: 1
Access: (0750/-rwxr-x---)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2014-09-21 23:16:18.000000000 +0800
Modify: 2014-09-21 21:29:26.000000000 +0800
Change: 2014-09-21 21:29:26.000000000 +0800
 777的文件，定位到病毒了。
[root@localhost boot]# find / -name *IptabL* -print
/boot/.IptabLes
/boot/.IptabLex
/etc/rc.d/rc4.d/S55IptabLes
/etc/rc.d/rc4.d/S55IptabLex
/etc/rc.d/rc2.d/S55IptabLes
/etc/rc.d/rc2.d/S55IptabLex
/etc/rc.d/rc3.d/S55IptabLes
/etc/rc.d/rc3.d/S55IptabLex