Linux应急响应(四):盖茨木马

0x00 前言

? Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。

0x01 应急场景

? 某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽:

0x02 事件分析

异常IP连接:

异常进程:

? 查看进行发现ps aux进程异常,进入该目录发现多个命令,猜测命令可能已被替换

登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程 :

异常启动项

进入rc3.d目录可以发现多个异常进行:

/etc/rc.d/rc3.d/S97DbSecuritySpt

/etc/rc.d/rc3.d/S99selinux

搜索病毒原体

find / -size -1223124c -size +1223122c -exec ls -id {} \; 搜索1223123大小的文件

从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见:

Linux平台“盖茨木马”分析

http://www.freebuf.com/articles/system/117823.html

悬镜服务器卫士丨Linux平台“盖茨木马”分析

http://www.sohu.com/a/117926079_515168

手动清除木马过程:

1、简单判断有无木马?            #有无下列文件?cat /etc/rc.d/init.d/selinux?cat /etc/rc.d/init.d/DbSecuritySpt?ls /usr/bin/bsd-port?ls /usr/bin/dpkgd?#查看大小是否正常?ls -lh /bin/netstat?ls -lh /bin/ps?ls -lh /usr/sbin/lsof?ls -lh /usr/sbin/ss?2、上传如下命令到/root下?ps netstat ss lsof?3、删除如下目录及文件?rm -rf /usr/bin/dpkgd (ps netstat lsof ss)?rm -rf /usr/bin/bsd-port     #木马程序?rm -f /usr/bin/.sshd         #木马后门?rm -f /tmp/gates.lod?rm -f /tmp/moni.lod?rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)?rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt?rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt?rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt?rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt?rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt?rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)?rm -f /etc/rc.d/rc1.d/S99selinux?rm -f /etc/rc.d/rc2.d/S99selinuxrm -f /etc/rc.d/rc3.d/S99selinuxrm -f /etc/rc.d/rc4.d/S99selinuxrm -f /etc/rc.d/rc5.d/S99selinux    4、找出异常程序并杀死5、删除含木马命令并重新安装

0x03 命令替换

RPM check检查:

系统完整性也可以通过rpm自带的-Va来校验检查所有的rpm软件包,有哪些被篡改了,防止rpm也被替换,上传一个安全干净稳定版本rpm二进制到服务器上进行检查./rpm -Va > rpm.log如果一切均校验正常将不会产生任何输出。如果有不一致的地方,就会显示出来。输出格式是8位长字符串, ``c 用以指配置文件, 接着是文件名. 8位字符的每一个 用以表示文件与RPM数据库中一种属性的比较结果 。``. (点) 表示测试通过。.下面的字符表示对RPM软件包进行的某种测试失败:

命令替换:

rpm2cpio 包全名 |  cpio -idv .文件绝对路径   rpm包中文件提取Rpm2cpio  将rpm包转换为cpio格式的命令 Cpio 是一个标准工具,它用于创建软件档案文件和从档案文件中提取文件?Cpio 选项 < [文件|设备]-i:copy-in模式,还原-d:还原时自动新建目录-v:显示还原过程

文件提取还原案例:

rpm  -qf /bin/ls  查询ls命令属于哪个软件包mv  /bin/ls /tmp  rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中ls命令到当前目录的/bin/ls下cp /root/bin/ls  /bin/ 把ls命令复制到/bin/目录 修复文件丢失?挂载命令rpm包:mkdir  /mnt/chrom/  建立挂载点mount -t iso9660 /dev/cdrom  /mnt/cdrom/  挂在光盘mount/dev/sr0 /mnt/cdrom/?卸载命令umount  设备文件名或挂载点umount /mnt/cdrom/

关于我:一个网络安全爱好者,致力于分享原创高质量干货,欢迎关注我的个人微信公众号:Bypass--,浏览更多精彩文章。

原文地址:https://www.cnblogs.com/xiaozi/p/9751955.html

时间: 2024-08-02 09:20:04

Linux应急响应(四):盖茨木马的相关文章

Linux应急响应姿势浅谈

一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大量发包: .... 不要着急,喝一杯82年的美年达压压惊,希望本文可以对你有所帮助. 二.排查流程 0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被修改的JS

Linux应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash

Linux应急响应(三):挖矿病毒

0x00 前言 ? 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式.新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue).web攻击多种漏洞(如Tomcat弱口令攻击.Weblogic WLS组件漏洞.Jboss反序列化漏洞.Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 . 0x01 应急场景 ? 某天,安全管理员在登录安全设备巡检时,发现某台

linux应急响应常用命令

端口查看 netstat -anplt | more 查看进程: ps -ef ps aux ps aux | grep pid 定时任务查看 crontab 查看文件 cat file全显示 head -5 file //显示前5行 tail -5 file //显示后5行       t00ls大佬分享的技巧1.定位有多少IP在爆破主机的root帐号: grep "Failed password for root" /var/log/secure | awk '{print $11

Linux应急响应

1.识别现象 top / ps -aux 监控与目标IP通信的进程 while true; do netstat -antp | grep [ip]; done 若恶意IP变化,恶意域名不变,使用host文件添加一条规则 查找有无恶意命令 history 清除可疑进程的进程链 ps -elf | grep [pid] kill -9 [pid] 定位病毒进程对应的文件路径 ls -al /proc/[pid]/exe rm -f [exe_path] 2.闭环兜底 crontab -l cat/

【讲清楚,说明白!】 Linux系统应急响应流程

目录:(一)概述(二)识别现象(三)闭环兜底(四)打上常见Web漏洞补丁 (一)概述(1.1)Linux环境下处理应急响应事件往往更加棘手,因为相比于Windows系统,Linux没有像procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以我们需要对流程进行梳理,系统化地处理Linux环境下的应急事件.(1.2)处理Linux应急响应主要分为4个环节:识别现象->清除病毒->闭环兜底->系统加固(1.3)首先从用户场景的主机异常现象触发,先识别出病毒的可疑现象.然后定位到具

一些关于Linux入侵应急响应的碎碎念

近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个字,顺藤摸瓜.我们常常需要找到比较关键的信息后通过一些指令查询或者分析日志,逐步分析黑客的具体步骤. 入侵后需要被关注的Linux系统日志 var/log/cron 记录crontab命令是否被正确的执行,一般会被黑客删除 var/log/lastlog 记录登录的用户,可以使用命令lastlog查

基于Linux平台下的僵尸网络病毒《比尔盖茨》

感觉分析的很好,所以决定翻译出来,希望和大家多多交流O(∩_∩)O~ 转载请注明出处:http://blog.csdn.net/u010484477     O(∩_∩)O谢谢 关键字:病毒,linux,信息安全 我昨天写的日志里面提到,家用路由器在x86的CentOS系统下奇怪的自己行动,像是在自己加载处理器.于是我决定爬上去看看,在那里发生了什么,然后我马上意识到有人爬到服务器和挂在进程中的dgnfd564sdf.com.主要是下面几个方面atddd,cupsdd,cupsddh, ksap

这四个故事揭示与盖茨共事的真相

微软联合创始人.世界首富比尔?盖茨(Bill Gates)被公认为当今世界最伟大的慈善家之一. 但盖茨并非一开始就是慈善家. 在微软存在的39年中,盖茨的公众形象经历过巨大的变化.起初,他被认为是一个杰出但令人讨厌的技术奇才.然后,他是一个卓越但脾气暴躁的CEO.再后来,他是一个无情的.受到司法部指控的商人.再往后,他是一个有远见的技术专家,偶尔会在电子邮件中对继任者史蒂夫?鲍尔默(Steve Ballmer)发脾气. 在这一切之后,他才成为一个全职的慈善家,致力于救治全球的小儿麻痹症和疟疾患者