一次被入侵和删除木马程序的经历

首先剧透一下后门木马如下:
(当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人)
木马名称
Linux.BackDoor.Gates.5
http://forum.antichat.ru/threads/413337/
首先是下午14点左右有几台服务器出现流量超高,平时只有几百M的流量,那时候发现流量上G了,达到这个量第一感觉就是遭受了DDOS流量攻击,那时候手上的服务器比较多,出现几台并没
有放在眼里,觉得查查就可以出来结果。随便说一句为了达到最好的性能,我们这些服务器都没有开防火墙(包括硬件及iptables),也就是服务器一直处于裸奔的状态。这些服务器裸奔了
几年一直没有出现问题,看来linux服务器安全这块还是挺让人满意的。
开始也没有什么头绪,就是ps查进程啊,netstat查端口号,iftop查流量,估计大家一开始出现这种情况都是这样操作,又得剧透下(这样做估计也是黑客希望的,显然他们对我等非常了解
哈),一时也没发现什么异常,只是iftop发现我们的服务器一直向外大量发包,对某个IP的流量能到达600多M,这时我们意识到服务器被黑了,但是只是当成了肉鸡,去攻击别的服务器,当
然攻击的IP也是一直在变化的,就好像有人在远程控制一样。
转眼都快到下班时间了,这时大概有3台服务器有这种的情况,此时大家把各自了解的情况汇总了一下:
a、/bin/ps,/bin/netsta程序都是1.2M的大小,显然是被人掉包了
b、/usr/bin/.dbus-daemon--system 进程还带了一个点,跟哪个不带点的很像,但终归是假的,你咋不给真的删掉替换呢,看来写这种程序的人法律意识很强,要不然程序推广起来了,死了
一大片CIA会放过他吗
c、/etc/rc.local权限改了,而且添加了一个开机启动项
d、lsattr、chattr命令删除了
e 、进程杀掉了立即又起来了这点很让人头痛
f、找到了一些最近修改的文件,显然这些都是黑客留下的
g、开机自动启动文件增加2个启动项
刚开始进程杀了又起来,文件删了又自动生成,线上环境又没有防火墙配置,无奈之下只好想了一个怪招,把/bin/bash重命名一下,果然流量下来了,这种杀敌1万自损8千的招果然有用。
其实这时候还没有找到真正的木马,但是已经有时间去分析查找病毒源了,这3台其中两台修改了bash名字,突然断开了,这样就登陆不了,只好重装系统了。后来这台我就慢慢查找了,差不
多都找到了,然后删除。这时心情大好,准备写博文记录一下,毕竟这是线上环境第一次遭遇木马。
大概22点的时候,博文写了一半,突然又接到故障,这次一下子又7台服务器出故障了,好心情一下子没了,原来那3台只是个开场白,真正的战斗还没有开始。所以后面的博客是续上的,调
调要是有些不一样将就的看吧。
由于这段时间网上查了些资料,慢慢的对这个木马熟悉起来了。这时我上传了一些正常的二进制程序如:ls,netstat,chattr,lsattr这样用自动的程序一下子就查到了木马程序,我分析了一
下,这些木马程序名字变着花样来,但万变不离其宗,名字都写在/etc/rc.d/init.d/DbSecuritySpt和/etc/rc.d/init.d/selinux里面,而且名字和正常的服务很像。
有/usr/local/zabbix/sbin/zabbix_AgentD、/usr/bin/bsd-port/getty、/usr/bin/dpkgd/ps、/usr/bin/.dbus-daemon--system、/usr/bin/.sshd、/usr/bin/sshd反正你系统有什么类似的
进程在运行,他就改成差不多的来迷惑你,其实他们都是一个程序大小也一样。
现在就是删除这些文件,杀死这些进程,说个小插曲由于某台服务器漏掉了一些没有删,第二天有激活了,这些东西当你用上面的命令时就可以激活,所以要千万小心仔细。在大概凌晨4点多
的时候这7台服务器的木马清理了差不多了,现在综合总结了大概步骤如下:
0,简单判断有无木马
有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
1,上传如下命令到/root下
lsattr   chattr  ps  netstat  ss lsof
2,删除如下目录及文件
rm -rf /usr/bin/dpkgd  (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port  (木马程序)
rm -f  /usr/local/zabbix/sbin/zabbix_AgentD (木马程序)
rm -f  /usr/local/zabbix/sbin/conf.n
rm -f  /usr/bin/.sshd
rm -f  /usr/bin/sshd
rm -f  /root/cmd.n
rm -f  /root/conf.n
rm -f  /root/IP
rm -f  /tmp/gates.lod  
rm -f  /tmp/moni.lod
rm -f  /tmp/notify.file  程序
rm -f  /tmp/gates.lock   进程号
rm -f  /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f  /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f  /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f  /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f  /etc/rc.d/rc1.d/S99selinux
rm -f  /etc/rc.d/rc2.d/S99selinux
rm -f  /etc/rc.d/rc3.d/S99selinux
rm -f  /etc/rc.d/rc4.d/S99selinux
rm -f  /etc/rc.d/rc5.d/S99selinux
3,找出下列程序进程号并杀死
top 一眼就看到那个木马cpu利用率特高
/root/ps aux grep -i jul29(主要是最近开启的进程)
/root/ps aux grep -i jul30
/root/ps aux grep -i jul31
/root/ps aux grep sshd

/root/ps aux grep ps
/root/ps aux grep getty
/root/ps aux grep netstat
/root/ps aux grep lsof
/root/ps aux grep ss
/root/ps aux grep zabbix_Agetntd
/root/ps aux grep .dbus
举例如下:
/root/ps aux grep getty
root      6215  0.0  0.0  93636   868 ?        Ssl  20:54   0:05 /usr/bin/bsd-port/getty
kill 6215
/root/ps aux grep zabbix_AgentD
root      2558 71.0  0.0 106052  1048 ?        Ssl  20:54 117:29 ./zabbix_AgentD
kill 2558
/root/ps aux grep "/dpkgd/ps"
root     11173 67.8  0.0 105924  1020 ?        Ssl  01:39   8:00 /usr/bin/dpkgd/ps -p 11148 -o comm=
kill 11173
注意如果kill后删除后还会再出现就这样操作(破坏木马程序)
>/usr/bin/dpkgd/ps && /root/chattr +i /usr/bin/dpkgd/ps
>/usr/bin/bsd-port/getty && /root/chattr +i /usr/bin/bsd-port/getty
4,删除含木马命令并重新安装(或者把上传的正常程序过去也行)
ps
/root/chattr  -i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y

cp /root/ps /bin
netstat
 /root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools    -y

cp /root/netstat /bin
lsof
/root/chattr  -i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y

cp /root/lsof /usr/sbin
chattr && lsattr
yum -y reinstall e2fsprogs
ss
/root/chattr  -i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute

cp /root/ss /usr/sbin
修改下面两个程序的权限,这个是意外发现有的改了这两个程序的权限,让你发现了木马既不能下载正常程序也不能杀进程
/usr/bin/killall
/usr/bin/wget
另外他们还修改了DNS怕我们识别不了有的域名吧,想得很周到哈
cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4
5,工具扫描
安装杀毒工具
安装
yum -y install clamav*
启动
service clamd restart
更新病毒库
freshclam 
扫描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r  --remove  /usr/bin/bsd-port
clamscan -r  --remove  /usr/bin/
clamscan -r --remove  /usr/local/zabbix/sbin
查看日志发现
/bin/netstat: Linux.Trojan.Agent FOUND为病毒
grep FOUND /root/usrclamav.log
/usr/bin/.sshd: Linux.Trojan.Agent FOUND
/usr/sbin/ss: Linux.Trojan.Agent FOUND
/usr/sbin/lsof: Linux.Trojan.Agent FOUND
6,加强自身安全
但是此时还不知道系统入侵的原因,只能从两个方面考虑:暴力破解和系统及服务漏洞
a、yum update  更新系统(特别是bash、openssh和openssl)
b、关闭一些不必要的服务
c、设置ssh普通用户登陆并用hosts.all、hosts.deny限制登陆的网段
d、记录登陆系统后操作的命令
发现有如下操作
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/messages
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/httpd/access_log
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/httpd/error_log
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/xferlog
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/secure
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/auth.log
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/user.log
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/wtmp
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/lastlog
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/log/btmp
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/run/utmp
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > /var/spool/mail/root
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]echo > ./.bash_history
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]rm -rf /root/.bash_history
Jul 31 00:26:37 CHN-LZ-131 logger: [euid=root]::[/root]
7,木马分析
后续,我把木马程序转换成了16进制的,大概看了一眼, 发现只是一个木马并能DDOS攻击,确实没有删除服务器配置,对服务器没有造成太大的危害。程序截图如下:
一次被入侵和删除木马程序的经历

一次被入侵和删除木马程序的经历

一次被入侵和删除木马程序的经历

一次被入侵和删除木马程序的经历

 

 

更多相关文章
  • (转载,请注明出处:http://www.kennethyo.me/post/android/palettechu-ji-shi-yong) 相信有不少的人已经开始关注Android Lollipop,全新的Material设计风格让人眼前一亮,Material强调大胆的阴影和高亮搭配,引用那些意料 ...
  •     近来参加了几场PHP工程师的面试,但是笔试题答得都不理想,回来总结了一下失败的原因,是没看PHP手册.几家公司的PHP基础面试题都可以在PHP手册上找到.哎,现在才知道最好的面试宝典是PHP手册.          下面是一些PHP面向对象基础知识的摘录,摘录内容来自PHP5.1手册. 1. ...
  • 如图: 解决方法: 删除monitZ喎?http://www.2cto.com/kf/ware/vc/" target="_blank" class="keylink">vcnMueG1sIM7EvP48L3A+DQo8cHJlIGNsYXNz ...
  • 近日更新了Mac OS X的10.10版本——Yosemite,感觉良好,但当我在打开磁盘工具的时候发现了一个美中不足的地方,磁盘宗卷组的名字居然还是我之前的“Mavericks”,如图: 如何对它进行修改呢?方法如下: 打开命令行界面,输入diskutil cs list 可以看到我的Logic ...
  • 近日,国外科技 IT 招聘公司 Robert Half 分析了 70 个科技职位后发现 2015 年从事 IT 从业人员的平均起薪将攀升至 5.7%,其中 15 个职位的提升潜力最大.   当企业在招聘过程中怨声载道高端技术人才的短缺的同时,高端 IT 开发者对薪资福利的期望值正节节攀升.总的来说, ...
  • 前些天用maven编译打包spark,搞得焦头烂额的,各种错误,层出不穷,想想也是醉了,于是乎,换种方式,使用sbt编译,看看人品如何! 首先,从官网spark官网下载spark源码包,解压出来.我这边使用的是1.4.0版本. 然后,我们需要把sbt配置好,配置很简单,无非就是SBT_HOME什么的 ...
一周排行
  • db2命令导出导入表结构和数据   1.打开cmd命窗口,进入db2安装目录下d:db2,执行命令:DB2CMD,进入到DB2 CLP窗口.  www.2cto.com   2.创建一个data文件夹 命令:mkdi ...
  • 文/jiaweb每逢佳节被逼婚,春节尤为如此.作为一种普遍的社会现象,逼婚甚至直接带动了婚恋网站的业务增长.每年春节期间,主流婚恋网站都会实现流量大增.但对很多婚恋网站来说,2015年的春节过得并不轻松.就在此前几天 ...
  • Visual Studio 2008以及以后版本中,微软停止了非托管C++的直接WebService引用.不过ATL Server代码已经托管到开源网站上,我们可以找到ATL Server的源代码,编译出Sproxy ...
  • PC产业增长的日渐式微以及平板电脑的冲击效应,正快速向产业上游传导. 3月8日,美国西部数据(Western Digital)公司表示,将以约43亿美元的现金加股票形式收购其竞争对手--日立全球存储技术公司(Hita ...
  • [java]  package com.jadyer.http;      import java.io.InputStream;   import java.io.OutputStream;   import ja ...
  • 今天小编为大家带来了cf永久黎明玫瑰BUG怎么刷 cf刷永久黎明玫瑰BUG,感兴趣的朋友们可以跟着小编去下文了解一下哦. 在CF中不少角色都是稀有货,要通过通关奖励开出来,但是刷到的几率是相当低的.下面小编就为大家介 ...
  • 10天的审核终于通过了,V1.1的更新上市!!!! 新增功能: 1.增加两个小人互轰气功攻击 2.使用招数为数字气功球     Bingo Fight连结   下载连结    
  • 易网科技讯 3月7日消息,网页游戏运营商趣游(北京)科技有限公司(下简称趣游科技)CFO温跃宇向易网科技表示,趣游即将通过审查,登陆美国纳斯达克,但未透露更多细节. 有消息人士向易网科技透露,国内网页游戏运营商趣游科 ...
  • 1 .电影<冒牌天神2>中,上帝要求一个人去建洛亚方舟, 这个人很是抱怨,于是上帝笑着对他说,“如果一个人向我祈祷,希望得到勇敢,你说我是马上让他勇敢好呢?还是给他机会让他变得勇敢好呢?!,如果有一个人向 ...
  • 2011年3月8日消息,据新华悦动传媒(XSELD)于本月3日提交的SEC 6-K文件显示,新华悦动传媒已于2011年2月25日收到纳斯达克通知,公司将被退市,公司的美国存托凭证将于2011年3月8日停止交易.代码转 ...