文档章节

服务器木马排查与清理 ddos

mickelfeng
 mickelfeng
发布于 2017/05/31 14:35
字数 1618
阅读 11
收藏 0
点赞 0
评论 0

修正记录:2016.01.27 杀死getty进程

    木马信息:

文件大小 :1223123 byte    
文件类型 :application/x-executable    
MD5:76aa5297ed2d046d3e618f0228aaf0a9     
SHA1:83a19cdc989cf9f694f09adf3054855adf8681df

前言:

    前段时间公司官网突然访问变慢,因未做流量监控,电话机房要问了下网络流量,时候几M流量已被占满,最初怀疑是因下载量过大引起,但再次电话机房时被告知服务器在向外发包,应该是被黑了,初步锁定一台win主机,为了将影响降到最低及快速恢复,决定当晚进机房重装系统。

    在决定去机房前有种快速恢复访问的方式,就是将问题主机上的业务转移到其它服务器上,但当我将站点迁移完成后,要求上级做域名解析时,遭到了拒绝,只能苦逼的当晚进机房。

    到机房后断网,备份数据,重装系统,在安装的过程中又问了几次流量情况,均被告知流量已降下来了。装好系统后配置IP,期间又问机房要了下掩码,结果查半天才给到我,这时我又发现其余几台服务器的掩码配置都是错误的……

    配好后又便开始恢复业务,打补丁,配置防火墙,一通搞之后终于完了,时间已过去3小时……本以为事件到此结束,待有时间在查查日志,结果第二天到公司没多久就又发现官网访问变慢,由于办公网络一直不好,对问题判断有一定影响,便再次电话机房咨询流量,结果被告知流量又上去了,与机房协商由机房拔网线协助锁定问题主机,最后确定其中一台主机存在问题,庆幸前一晚在机房将内外网做了规范,机房帮助拔了公网网线,我通过内网地址进行排查,过程如下

症状:

    服务器向外发包,耗尽网卡流量,若有路由器,可能会导致路由器资源耗尽

正文:

    首先先到的是通过netstat -ano查看是哪个进程在向外请求链接,查到了一个可疑进程,根据名称进行搜索,在根目录下找到了26这个可疑文件,kill -9 进程号,然后备份删之,再次查看时已不存在类似进程。

    十一期间和朋友说起这事,并利用保留的样本进行了再次抓包,通过对数据包的简单分析,此文件向一ip请求数据,然后再去向两个ip发起大量大包syn请求。在本地测试时有个很怪的现象,kill了进程然后删除程序,但过会程序就又出现了,而当时在服务器上却没出现这情况

    又在线查杀了下此文件,报告为backdoor ddos,并且发现不光我一人中招,搜索了下,大量人都遇到了这种情况,通过查看他们的排查过程,发现原来我的方法是个错误……

 

    以下是通过阅读各前辈的排查方法及本人对比整理而来

    此木马有以下行为

    1.替换系统 lsof netstat ps ss命令

    2.生成/usr/bin/bsd-port目录 包含conf.n getty getty.lock

    3./etc/init.d/ 目录下会生成 selinux DbSecuritySpt

    4.生成/usr/bin/.sshd

    5./ 根目录下生成26 conf.n dump.rdb

    6.源lsof netstat ps ss会被拷贝到/usr/bin/dpkgd目录下

    7.木马会将本机部分信息发送给服务端,并获取需要攻击的IP地址(分析数据包得出)

    8.根据文件创建日期,还可以查到/proc/ /sys/ 被创建了n多进程文件,并修改/proc/sys内文件

    9.在rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d生成指向/etc/init.d/目录下的DbSecuritySpt selinux的链接

    DbSecuritySpt selinux这两个文件的内容如下图

wKioL1YbnZaSxZhEAADdOJ3kDGA893.jpg

    我服务器上只删除了/26这个文件,说明我的服务器还是存在危险的,因为已经知道了具体的文件大小,通过find将余下的文件全部找出

1

find / -size 1223123c

    这个文件的大小,相比网上找到的一篇文章的大了点,结果如下

wKioL1YbnryDxC1aAAFx3-Auk9U950.jpg

    查看了下/usr/bin/dpkgd下的文件拷贝时间

wKioL1YbnzLS-RPlAADskd_NC7E569.jpg

    根据这个文件创建的时间,及事发时间找出同一时间创建的文件

1

2

3

touch -t 201508302153 start

touch -t 201509102300 end

find / -newer start -a ! -newer end -exec ls -l {} \;

    找到的东西太多了,要慢慢分析

 

看到网上大神的思路是上来就先ll /bin 目录,查看是否有异常

然后在strace netstat -lntp 抓取出源netstat位置

通过源netstat -lntp将可疑进程抓个现身

又通过strace -p pid 查看可以进程是否会记录密码等信息

详细地址http://kentli.me/?p=52

 

还有大神是通过chkrootkit,rootkit huntur 这两个工具检测系统异常的

详细地址http://chenxingxing.blog.51cto.com/1956687/1586000

找出可疑的进程 可通过

netstat -lantp

lsof -i:端口号

ps -aux | grep 进程号

 

找到以上全部可疑文件删除之

最后再用clamav扫描全盘

 

事后想来,应该是通过弱口令黑进来的,后来又对ssh hosts做了小小配置

事实证明,被挂马是因为tomcat服务配置的若口令导致……

刚刚又查了下,/proc 和/sys 内多个文件被修改,其中/proc/sys目录内多个文件被修改

最好的处理方式,还是建议重装系统,因为系统内被修改的文件实在是太多了

wKioL1Ybq7GDRR9hAAFpMkRCh0E019.jpg

针对此Linux.BackDoor.Gates.5 木马的详细说明

http://news.drweb.cn/show/?i=230&c=5&p=14

2016.01.27 修订

    单纯 kill 可疑文件的进程,不一定会杀掉全部的木马进程,最近查看 cpu 使用率时发现有个 getty 进程占用的 cup 资源相对要多,通过 ps 找到 getty 路径,居然是之前清理木马时的目录……

    可通过 top 查看,并使用 P 按 cpu 使用率排序或 T 按累计时间排序,将以两种方式都查看下,有时有多个进程占用 cpu 资源高于可疑进程时,按 cpu 排序可能就不好发现了

wKiom1aoPCXC35yrAABuqN1ryDA435.png

本文转载自:http://morrowind.blog.51cto.com/1181631/1702230

共有 人打赏支持
mickelfeng

mickelfeng

粉丝 226
博文 964
码字总数 548988
作品 0
成都
高级程序员
一次真实的Linux服务器挖矿程序排查案例,顺道干掉一个DDoS后门

  一、背景   上周有朋友反映一台服务器流量超标, 怀疑中木马,请求帮忙处理,平时长期在应用层打杂习惯了,其实并没有什么底气去排查系统底层后门这些东西 。但是既然有需求,当然还是...

FreeBuf ⋅ 04/27 ⋅ 0

服务器木马排查与清理 ddos

修正记录:2016.01.27 杀死getty进程 木马信息: 文件大小 :1223123 byte 文件类型 :application/x-executable MD5:76aa5297ed2d046d3e618f0228aaf0a9 SHA1:83a19cdc989cf9f694f09adf305485......

lylspecter ⋅ 2015/10/12 ⋅ 0

Centos7 系统安全事故处理案例

最近公司申请了华为云的资源做测试。在丢了一个小项目上去测试之后,发现系统CPU异常繁忙,系统重启之后情况依旧,连接服务器异常缓慢。这时也接到华为云的客服电话说测试服务器同黑客服务器...

ylw6006 ⋅ 2017/10/16 ⋅ 0

春节来临,面对网络威胁,我们应该如何保障业务安全,轻轻松松过大年?

阿里云安全最受欢迎产品春节限时折扣 迅速获得春节一份“安心”! 来聚能聊,点击参与春节安全话题! 一年一度的中国春节即将来临,这是中国人自己的节日,算是年终给自己放大假。恶意的网络...

觉宇 ⋅ 02/11 ⋅ 0

windows azure 虚拟机被种码表现

Windows azure每月免费20T流量,包含输入流量和输出流程,但是经不起DDos啊。 收到世纪XX通知,某个订阅下的虚机在在进行DDOS攻击,XXX并在30分钟内停止攻击并回复邮件,赶紧的打开订阅管理平...

longfirst ⋅ 2014/10/18 ⋅ 0

恶意软件感染 MySQL 服务器,成为全球 DDoS 之一

赛门铁克已经发现攻击者使用恶意软件劫持MySQL服务器,将其加入全球DDoS僵尸网络,进而发动DDoS攻击。据赛门铁克公司介绍,攻击者可以利用SQL注入(仍未经证实的),使用一个特制的UDF(用户...

oschina ⋅ 2015/10/29 ⋅ 41

湖北阿里云授权服务中心分析云服务器CPU跑满或跑高排查问题

下面就由阿里云湖北授权服务中心武汉捷讯信息技术的小编给大家普及一下怎么排查CPU跑满或跑高的问题。 Windows系统下,您可以按如下步骤进行排查: 1.定位问题。找到影响带宽和CPU跑满或跑高...

捷讯技术17 ⋅ 06/06 ⋅ 0

威胁预警 Linux.BackDoor.Xnote.1最新变种来袭

  一、事件背景   根据某客户现场反应,部署在网络环境中的深信服安全感知系统报警,某Linux服务器经常出现apache的conf文件被篡改后出现挂黑链的情况,并且偶尔出现大规模的DDOS外发现象...

FreeBuf ⋅ 06/04 ⋅ 0

系统被黑不要慌,十个步骤来排查

问题背景 安全人员在日常工作中通常要手工排查 Linux 服务器的安全性,对于中马的服务器,我将其归纳为4个阶段: 1.木马如何传播到服务器上 (Eg:暴力破解系统用户); 2.木马的目的是什么(...

泡面办公室 ⋅ 2017/08/10 ⋅ 0

使用Nginx、Nginx Plus抵御DDOS攻击

DDOS是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法...

Mr_zebra ⋅ 02/08 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Kubeflow实战系列:利用TFJob导出分布式TensorFlow模型

介绍 本系列将介绍如何在阿里云容器服务上运行Kubeflow, 本文介绍如何使用TfJob导出分布式模型训练模型。 第一篇:阿里云上使用JupyterHub 第二篇:阿里云上小试TFJob 第三篇:利用TFJob运行...

全部原谅 ⋅ 4分钟前 ⋅ 0

007. 深入JVM学习—老年代

老年代空间的主要目的是用于存储由Eden发送来的对象,一般在经历好几次“Minor GC”还会保存下来的对象,才会被复制到老年代,这样就可以存放更多的对象,同时在老年代中执行GC的次数也相对较...

影狼 ⋅ 5分钟前 ⋅ 0

常见的一些C#开源框架或者开源项目

原:https://blog.csdn.net/qq_27825451/article/details/70666044 Json.NET http://json.codeplex.com/ Json.Net 是一个读写Json效率比较高的.Net框架.Json.Net 使得在.Net环境下使用Json更......

whoisliang ⋅ 6分钟前 ⋅ 0

设计模式基本原理

刚开始接触编程这行的时候看过设计模式,当时感觉学这些模式没有太大的用处,当时也看不太懂。但是随着慢慢接触这一行,经过一段时间的编程以后,再回过头来看设计模式,发现设计模式的确是太...

王子城 ⋅ 9分钟前 ⋅ 0

阿里云全面支持IPv6!一文揽尽4位大咖精彩演讲

摘要: 自从去年11月以来,阿里巴巴高度重视数据中心的网络改造、云产品改造、应用及网络改造等多个维度,经过半年以来的建设,阿里云已经完成了域名解析等关键产品的分析,现在阿里云已经完...

传授知识的天使 ⋅ 19分钟前 ⋅ 0

windows Android sdk 配置

1、下载Android SDK,点击安装,直接默认路径即可! 下载地址:http://developer.android.com/sdk/index.html 2、默认路径安装后,安装完成,开始配置环境变量。 3、打开计算机属性——高级系...

阿豪boy ⋅ 22分钟前 ⋅ 0

bash shell script 简明教程

User <--> bash <--> kernel shell is not kernel or part of kernel various shells: tcsh, csh, bash, ksh find the using shell: echo $SHELL find all the shells: cat /etc/shells what......

mskk ⋅ 25分钟前 ⋅ 0

Service Mesh简史

William Morgan Service Mesh是一个相当新的概念,讲它的“历史”似乎有些勉强。就目前而言,Service Mesh已经在部分企业生产环境中运行了超过18个月,它的源头可以追溯到2010年前后互联网公...

好雨云帮 ⋅ 25分钟前 ⋅ 0

10个免费的服务器监控工具

监控你的WEB服务器或者WEB主机运行是否正常与健康是非常重要的。你要确保用户始终可以打开你的网站并且网速不慢。服务器监控工具允许你收集和分析有关你的Web服务器的数据。 有许多非常好的服...

李朝强 ⋅ 37分钟前 ⋅ 0

压缩工具之zip-tar

zip 支持目录压缩。使用yum安装zip包,使用yum安装unzip包 zip 1.txt.zip 1.txt #将1.txt文件压缩,新生成的压缩文件为1.txt.zip,原文件保留 zip -r 123.zip 123/ #-r对目录操作。将123/目录...

ZHENG-JY ⋅ 38分钟前 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部