文档章节

服务器木马排查与清理 ddos

mickelfeng
 mickelfeng
发布于 2017/05/31 14:35
字数 1618
阅读 15
收藏 0

修正记录:2016.01.27 杀死getty进程

    木马信息:

文件大小 :1223123 byte    
文件类型 :application/x-executable    
MD5:76aa5297ed2d046d3e618f0228aaf0a9     
SHA1:83a19cdc989cf9f694f09adf3054855adf8681df

前言:

    前段时间公司官网突然访问变慢,因未做流量监控,电话机房要问了下网络流量,时候几M流量已被占满,最初怀疑是因下载量过大引起,但再次电话机房时被告知服务器在向外发包,应该是被黑了,初步锁定一台win主机,为了将影响降到最低及快速恢复,决定当晚进机房重装系统。

    在决定去机房前有种快速恢复访问的方式,就是将问题主机上的业务转移到其它服务器上,但当我将站点迁移完成后,要求上级做域名解析时,遭到了拒绝,只能苦逼的当晚进机房。

    到机房后断网,备份数据,重装系统,在安装的过程中又问了几次流量情况,均被告知流量已降下来了。装好系统后配置IP,期间又问机房要了下掩码,结果查半天才给到我,这时我又发现其余几台服务器的掩码配置都是错误的……

    配好后又便开始恢复业务,打补丁,配置防火墙,一通搞之后终于完了,时间已过去3小时……本以为事件到此结束,待有时间在查查日志,结果第二天到公司没多久就又发现官网访问变慢,由于办公网络一直不好,对问题判断有一定影响,便再次电话机房咨询流量,结果被告知流量又上去了,与机房协商由机房拔网线协助锁定问题主机,最后确定其中一台主机存在问题,庆幸前一晚在机房将内外网做了规范,机房帮助拔了公网网线,我通过内网地址进行排查,过程如下

症状:

    服务器向外发包,耗尽网卡流量,若有路由器,可能会导致路由器资源耗尽

正文:

    首先先到的是通过netstat -ano查看是哪个进程在向外请求链接,查到了一个可疑进程,根据名称进行搜索,在根目录下找到了26这个可疑文件,kill -9 进程号,然后备份删之,再次查看时已不存在类似进程。

    十一期间和朋友说起这事,并利用保留的样本进行了再次抓包,通过对数据包的简单分析,此文件向一ip请求数据,然后再去向两个ip发起大量大包syn请求。在本地测试时有个很怪的现象,kill了进程然后删除程序,但过会程序就又出现了,而当时在服务器上却没出现这情况

    又在线查杀了下此文件,报告为backdoor ddos,并且发现不光我一人中招,搜索了下,大量人都遇到了这种情况,通过查看他们的排查过程,发现原来我的方法是个错误……

 

    以下是通过阅读各前辈的排查方法及本人对比整理而来

    此木马有以下行为

    1.替换系统 lsof netstat ps ss命令

    2.生成/usr/bin/bsd-port目录 包含conf.n getty getty.lock

    3./etc/init.d/ 目录下会生成 selinux DbSecuritySpt

    4.生成/usr/bin/.sshd

    5./ 根目录下生成26 conf.n dump.rdb

    6.源lsof netstat ps ss会被拷贝到/usr/bin/dpkgd目录下

    7.木马会将本机部分信息发送给服务端,并获取需要攻击的IP地址(分析数据包得出)

    8.根据文件创建日期,还可以查到/proc/ /sys/ 被创建了n多进程文件,并修改/proc/sys内文件

    9.在rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d生成指向/etc/init.d/目录下的DbSecuritySpt selinux的链接

    DbSecuritySpt selinux这两个文件的内容如下图

wKioL1YbnZaSxZhEAADdOJ3kDGA893.jpg

    我服务器上只删除了/26这个文件,说明我的服务器还是存在危险的,因为已经知道了具体的文件大小,通过find将余下的文件全部找出

1

find / -size 1223123c

    这个文件的大小,相比网上找到的一篇文章的大了点,结果如下

wKioL1YbnryDxC1aAAFx3-Auk9U950.jpg

    查看了下/usr/bin/dpkgd下的文件拷贝时间

wKioL1YbnzLS-RPlAADskd_NC7E569.jpg

    根据这个文件创建的时间,及事发时间找出同一时间创建的文件

1

2

3

touch -t 201508302153 start

touch -t 201509102300 end

find / -newer start -a ! -newer end -exec ls -l {} \;

    找到的东西太多了,要慢慢分析

 

看到网上大神的思路是上来就先ll /bin 目录,查看是否有异常

然后在strace netstat -lntp 抓取出源netstat位置

通过源netstat -lntp将可疑进程抓个现身

又通过strace -p pid 查看可以进程是否会记录密码等信息

详细地址http://kentli.me/?p=52

 

还有大神是通过chkrootkit,rootkit huntur 这两个工具检测系统异常的

详细地址http://chenxingxing.blog.51cto.com/1956687/1586000

找出可疑的进程 可通过

netstat -lantp

lsof -i:端口号

ps -aux | grep 进程号

 

找到以上全部可疑文件删除之

最后再用clamav扫描全盘

 

事后想来,应该是通过弱口令黑进来的,后来又对ssh hosts做了小小配置

事实证明,被挂马是因为tomcat服务配置的若口令导致……

刚刚又查了下,/proc 和/sys 内多个文件被修改,其中/proc/sys目录内多个文件被修改

最好的处理方式,还是建议重装系统,因为系统内被修改的文件实在是太多了

wKioL1Ybq7GDRR9hAAFpMkRCh0E019.jpg

针对此Linux.BackDoor.Gates.5 木马的详细说明

http://news.drweb.cn/show/?i=230&c=5&p=14

2016.01.27 修订

    单纯 kill 可疑文件的进程,不一定会杀掉全部的木马进程,最近查看 cpu 使用率时发现有个 getty 进程占用的 cup 资源相对要多,通过 ps 找到 getty 路径,居然是之前清理木马时的目录……

    可通过 top 查看,并使用 P 按 cpu 使用率排序或 T 按累计时间排序,将以两种方式都查看下,有时有多个进程占用 cpu 资源高于可疑进程时,按 cpu 排序可能就不好发现了

wKiom1aoPCXC35yrAABuqN1ryDA435.png

本文转载自:http://morrowind.blog.51cto.com/1181631/1702230

共有 人打赏支持
mickelfeng

mickelfeng

粉丝 226
博文 2607
码字总数 566507
作品 0
成都
高级程序员
一次真实的Linux服务器挖矿程序排查案例,顺道干掉一个DDoS后门

  一、背景   上周有朋友反映一台服务器流量超标, 怀疑中木马,请求帮忙处理,平时长期在应用层打杂习惯了,其实并没有什么底气去排查系统底层后门这些东西 。但是既然有需求,当然还是...

FreeBuf
04/27
0
0
服务器木马排查与清理 ddos

修正记录:2016.01.27 杀死getty进程 木马信息: 文件大小 :1223123 byte 文件类型 :application/x-executable MD5:76aa5297ed2d046d3e618f0228aaf0a9 SHA1:83a19cdc989cf9f694f09adf305485......

lylspecter
2015/10/12
0
0
Centos7 系统安全事故处理案例

最近公司申请了华为云的资源做测试。在丢了一个小项目上去测试之后,发现系统CPU异常繁忙,系统重启之后情况依旧,连接服务器异常缓慢。这时也接到华为云的客服电话说测试服务器同黑客服务器...

ylw6006
2017/10/16
0
0
春节来临,面对网络威胁,我们应该如何保障业务安全,轻轻松松过大年?

阿里云安全最受欢迎产品春节限时折扣 迅速获得春节一份“安心”! 来聚能聊,点击参与春节安全话题! 一年一度的中国春节即将来临,这是中国人自己的节日,算是年终给自己放大假。恶意的网络...

觉宇
02/11
0
0
中国香港地区 DDoS- botnet 态势分析

近期阿里云态势感知发现一起中控位于中国香港地区的DDoS恶意攻击事件,通过追踪溯源发现,该DDoS木马是XorDDoS-botnet的新变种,中控域名为:jun6.f3322.net,中控服务器IP是位于中国香港的1...

云安全2016
08/14
0
0

没有更多内容

加载失败,请刷新页面

加载更多

00.编译OpenJDK-8u40的整个过程

前言 历经2天的折腾总算把OpenJDK给编译成功了,要说为啥搞这个,还得从面试说起,最近出去面试经常被问到JVM的相关东西,总感觉自己以前学的太浅薄,所以回来就打算深入学习,目标把《深入理...

凌晨一点
今天
2
0
python: 一些关于元组的碎碎念

初始化元组的时候,尤其是元组里面只有一个元素的时候,会出现一些很蛋疼的情况: def checkContentAndType(obj): print(obj) print(type(obj))if __name__=="__main__": tu...

Oh_really
昨天
6
2
jvm crash分析工具

介绍一款非常好用的jvm crash分析工具,当jvm挂掉时,会产生hs_err_pid.log。里面记录了jvm当时的运行状态以及错误信息,但是内容量比较庞大,不好分析。所以我们要借助工具来帮我们。 Cras...

xpbob
昨天
113
0
Qt编写自定义控件属性设计器

以前做.NET开发中,.NET直接就集成了属性设计器,VS不愧是宇宙第一IDE,你能够想到的都给你封装好了,用起来不要太爽!因为项目需要自从全面转Qt开发已经6年有余,在工业控制领域,有一些应用...

飞扬青云
昨天
4
0
我为什么用GO语言来做区块链?

Go语言现在常常被用来做去中心化系统(decentralised system)。其他类型的公司也都把Go用在产品的核心模块中,并且它在网站开发中也占据了一席之地。 我们在决定做Karachain的时候,考量(b...

HiBlock
昨天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部