清理了一个服务器 DDos 木马

2015-01-15 18:43:25 +08:00
 millken
背景:
申请了5台机器来测试elasticsearch集群,机房说机器一直在往外发包。
因为其中的一台配置了环境,不想重装,只好硬着头皮手动清理。

简单查杀:
top查看,很明显有个名为/root/46000的进程,根据经验肯定就是木马。杀之!
过了会儿又有了,我想应该是有监控进程。

通过找最近修改文件find / -size +1000000c -mtime -1,发现一些系统程序被替换了。

更精确定位 find / -size 1135000c -mtime -1

/root/46000
/bin/ps
/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
/usr/sbin/lsof

这些就是了,从另一台copy过来,最后清理

/root/46000
/root/conf.n
/tmp/gates.lock
/etc/init.d/DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc2.d/S97DbSecuritySpt
/etc/rc3.d/S97DbSecuritySpt
/etc/rc4.d/S97DbSecuritySpt
/etc/rc5.d/S97DbSecuritySpt

并杀掉相关进程
10541 次点击
所在节点    Linux
31 条回复
iT2afL0rd
2015-01-15 18:46:46 +08:00
经验相当丰富啊
ls25145
2015-01-15 19:16:11 +08:00
我觉得关键在于这些文件怎么进来的?不堵上下次还能再换
hcymk2
2015-01-15 19:26:12 +08:00
可能是elasticsearch (CVE-2014-3120)
hcymk2
2015-01-15 19:27:39 +08:00
我以前第一次弄elasticsearch 的时候中过招。
shakespark
2015-01-15 19:35:48 +08:00
要是病毒把find ls都换了会咋样。。。
choury
2015-01-15 21:05:49 +08:00
我在想ps都换了,怎么不换呢
choury
2015-01-15 21:06:30 +08:00
手抖了,是“怎么不换top呢”
guairen
2015-01-15 21:39:46 +08:00
你们说的,我怎听不明白。 只知道TOP。
Draplater
2015-01-15 21:41:20 +08:00
@shakespark 可以传一个 busybox
mahone3297
2015-01-15 21:50:43 +08:00
find, ls 都替换。。。好思路。。。大家都好邪恶。。。
zhicheng
2015-01-15 21:53:46 +08:00
这个 Rootkit 明显写得不合格,差评。
horsley
2015-01-15 22:48:36 +08:00
你是不是用了wdcp
hiboshi
2015-01-16 00:19:32 +08:00
既然 被替换了系统文件 应该是中了rootkit吧 但是 还能使用top 明显 这个 不合格 同样差评
besto
2015-01-16 01:58:02 +08:00
@choury
@hiboshi

只用htop...
Livid
2015-01-16 01:59:58 +08:00
最近好多人都中了这个……
chigco
2015-01-16 02:09:47 +08:00
没查明是怎么中的吗?
blijf
2015-01-16 02:49:22 +08:00
我也有遇到过,不管是win还是lin都是这个DbSecuritySpt
williamx
2015-01-16 08:13:05 +08:00
看了个半懂。最后清理的文件是怎么找出来的?前几天我do上的翻墙机也中了,最后只能重装啊。求指点。
hushuang
2015-01-16 08:34:59 +08:00
根据描述 应该是这个木马 或者衍生
http://news.drweb.cn/show/?i=230&lng=cn&c=5

"如果在配置文件中设置有标志g_bDoBackdoor,木马同样会试图打开/root/.profile文件,检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段,Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本,命名为配置文件中设置的相应名称,并取代下列工具:

/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

确实只替换了这些程序 不设计 top find
rangercyh
2015-01-16 09:01:56 +08:00
@shakespark 真是好思路。。。。不得不赞一个。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/162482

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX