一、背景
晚上看到有台伺服器流量跑的很高,明顯和平常不一樣,流量達到了800mbps,第一感覺應該是中木馬了,被人當做殭屍電腦了,在大量發包。
我們的伺服器為了最好性能,防火牆(iptables)什麼的都沒有開啟,但是伺服器前面有實體防火牆,而且機器都是做的端口映射,也不是常見的端口,按理來說應該是滿安全的,可能最近和木馬有緣吧,老是讓我遇到,也趁這次機會把發現過程記錄一下。
二、發現并追蹤處理
1、檢視流量圖發現問題
檢視的時候網頁非常卡,有的時候甚至沒有響應。
2、top動态檢視程序
我馬上遠端登入出問題的伺服器,遠端操作很卡,網卡出去的流量非常大,通過top發現了一個異常的程序占用資源比較高,名字不仔細看還真以為是一個web服務程序。
3、ps指令檢視程序的路徑
發現這個程式檔案在/etc目錄下面,是個二進制程式,我拷貝了下來,放到了本文附近位置,以供大家在虛拟機上面研究,哈哈。
4、結束異常程序并繼續追蹤
killall -9 nginx1
rm -f /etc/nginx1
幹掉程序之後,流量立刻下來了,遠端也不卡頓了,難道删掉程式檔案,幹掉異常程序我們就認為處理完成了麼?想想也肯定沒那麼簡單的,這個是木馬啊,肯定還會自己生成程式檔案(果然不出我所料,在我沒有搞清楚之前,後面确實又生成了)我們得繼續追查。
5、檢視登入記錄及日志檔案secure
通過指令last檢視賬戶登入記錄,一切正常。檢視系統檔案message并沒有發現什麼,但是當我檢視secure檔案的時候發現有些異常,反正是和認證有關的,應該是嘗試連進來控制發包?
6、再次ps檢視程序
其實第一次ps的時候就有這個問題,那時候沒有發現,第二次是自習檢視每個程序,自習尋找不太正常的程序,發現了一個奇怪的ps程序。
我找了一台正常的機器,檢視了一下ps指令的大小,正常的大約是81kb,然後這台機器上面的ps卻高達1.2m,指令檔案肯定是被替換了。
然後進入另一個ps的目錄,看到有如下幾個指令,然後我有查詢了一下系統的這幾個指令,發現都變得很大,都達到了1.2m,這些系統指令檔案肯定是都被替換了。
7、更多異常檔案的發現
檢視定時任務檔案crontab并沒有發現什麼一次,然後檢視系統啟動檔案rc.local,也沒有什麼異常,然後進入/etc/init.d目錄檢視,發現比較奇怪的腳本檔案dbsecurityspt、selinux。
第一個檔案可以看出他就是開機啟動那個異常檔案的,第二個應該和登入有關,具體我還不是很清楚,反正肯定是有問題的。
既然和登入有關,那就找和ssh相關的,找到了下面的一個檔案,是隐藏檔案,這個也是木馬檔案,我們先記錄下來,這樣程式名字都和我們的服務名字很相近,就是為了迷惑我們,他們的大小都是1.2m,他們有可能是一個檔案。
我有看了一下木馬喜歡出現的目錄/tmp,也發現了異常檔案,從名字上感覺好像是監控木馬程式的。
想到這裡,替換的指令應該很多,單靠我們去找肯定是解決不了的,我的建議最好是重裝作業系統,并做好安全政策,如果不重裝,我下面給一下我的方法,具體行不行有待驗證。
三、木馬手動清除
現在綜合總結了大概步驟如下:
1、簡單判斷有無木馬
2、上傳如下指令到/root下
ps netstat ss lsof
3、删除如下目錄及檔案
4、找出異常程式并殺死
5、删除含木馬指令并重新安裝(或者把上傳的正常程式複制過去也行)
我自己重新安裝好像不行,我是找的正常的機器複制的指令。
四、殺毒工具掃描
1、安裝殺毒工具clamav
2、啟動服務
service clamd restart
3、更新病毒庫
由于clamav不是最新版本,是以有告警資訊。可以忽略或更新最新版本。
4、掃描方法
可以使用clamscan -h檢視相應的幫助資訊
5、檢視日志發現
把發現的指令删掉替換正常的
附錄:linux.backdoor.gates.5
經過查詢資料,這個木馬應該是linux.backdoor.gates.5,找到一篇檔案,内容具體如下:
某些使用者有一種根深蒂固的觀念,就是目前沒有能夠真正威脅linux核心作業系統的惡意軟體,然而這種觀念正在面臨越來越多的挑戰。與4月相比,2014年5月doctor web公司的技術人員偵測到的linux惡意軟體數量創下了新紀錄,六月份這些惡意軟體名單中又增加了一系列新的linux木馬,這一新木馬家族被命名為linux.backdoor.gates。
在這裡描述的是惡意軟體家族linux.backdoor.gates中的一個木馬:linux.backdoor.gates.5,此惡意軟體結合了傳統後門程式和ddos攻擊木馬的功能,用于感染32位linux版本,根據其特征可以斷定,是與linux.dnsamp和linux.ddos家族木馬同出于一個病毒編寫者之手。新木馬由兩個功能子產品構成:基本子產品是能夠執行不法分子所發指令的後門程式,第二個子產品在安裝過程中儲存到硬碟,用于進行ddos攻擊。linux.backdoor.gates.5在運作過程中收集并向不法分子轉發受感染電腦的以下資訊:
cpu核數(從/proc/cpuinfo讀取)。
cpu速度(從/proc/cpuinfo讀取)。
cpu使用(從/proc/stat讀取)。
gate'a的 ip(從/proc/net/route讀取)。
gate'a的mac位址(從/proc/net/arp讀取)。
網絡接口資訊(從/proc/net/dev讀取)。
網絡裝置的mac位址。
記憶體(使用/proc/meminfo中的memtotal參數)。
發送和接收的資料量(從/proc/net/dev讀取)。
作業系統名稱和版本(通過調用uname指令)。
啟動後,linux.backdoor.gates.5會檢查其啟動檔案夾的路徑,根據檢查得到的結果實作四種行為模式。
如果後門程式的可執行檔案的路徑與netstat、lsof、ps工具的路徑不一緻,木馬會僞裝成守護程式在系統中啟動,然後進行初始化,在初始化過程中解壓配置檔案。配置檔案包含木馬運作所必須的各種資料,如管理伺服器ip位址和端口、後門程式安裝參數等。
根據配置檔案中的g_igatsisfx參數值,木馬或主動連接配接管理伺服器,或等待連接配接:成功安裝後,後門程式會檢測與其連接配接的站點的ip位址,之後将站點作為指令伺服器。
木馬在安裝過程中檢查檔案/tmp/moni.lock,如果該檔案不為空,則讀取其中的資料(pid程序)并“幹掉”該id程序。然後linux.backdoor.gates.5會檢查系統中是否啟動了ddos子產品和後門程式自有程序(如果已啟動,這些程序同樣會被“幹掉”)。如果配置檔案中設定有專門的标志g_iisservice,木馬通過在檔案/etc/init.d/中寫入指令行#!/bin/bash\n<path_to_backdoor>将自己設為自啟動,然後linux.backdoor.gates.5建立下列符号連結:
如果在配置檔案中設定有标志g_bdobackdoor,木馬同樣會試圖打開/root/.profile檔案,檢查其程序是否有root權限。然後後門程式将自己複制到/usr/bin/bsd-port/getty中并啟動。在安裝的最後階段,linux.backdoor.gates.5在檔案夾/usr/bin/再次建立一個副本,命名為配置檔案中設定的相應名稱,并取代下列工具:
/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
木馬以此完成安裝,并開始調用基本功能。
執行另外兩種算法時木馬同樣會僞裝成守護程序在被感染電腦啟動,檢查其元件是否通過讀取相應的.lock檔案啟動(如果未啟動,則啟動元件),但在儲存檔案和注冊自啟動時使用不同的名稱。
與指令伺服器設定連接配接後,linux.backdoor.gates.5接收來自伺服器的配置資料和僵屍電腦需完成的指令。按照不法分子的指令,木馬能夠實作自動更新,對指定ip位址和端口的遠端站點發起或停止ddos攻擊,執行配置資料所包含的指令或通過與指定ip位址的遠端站點建立連接配接來執行其他指令。
此後門程式的主要ddos攻擊目标是中國的伺服器,然而不法分子攻擊對象也包括其他國家。下圖為利用此木馬進行的ddos攻擊的地理分布:
作者:糖豆
來源:51cto