清理了一个服务器 DDos 木马

2015-01-15 18:43:25 +08:00

millken

背景：
申请了5台机器来测试elasticsearch集群，机房说机器一直在往外发包。
因为其中的一台配置了环境，不想重装，只好硬着头皮手动清理。

简单查杀：
top查看，很明显有个名为/root/46000的进程，根据经验肯定就是木马。杀之！
过了会儿又有了，我想应该是有监控进程。

通过找最近修改文件find / -size +1000000c -mtime -1，发现一些系统程序被替换了。

更精确定位 find / -size 1135000c -mtime -1

/root/46000
/bin/ps
/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
/usr/sbin/lsof

这些就是了，从另一台copy过来，最后清理

/root/46000
/root/conf.n
/tmp/gates.lock
/etc/init.d/DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc2.d/S97DbSecuritySpt
/etc/rc3.d/S97DbSecuritySpt
/etc/rc4.d/S97DbSecuritySpt
/etc/rc5.d/S97DbSecuritySpt

并杀掉相关进程

10552 次点击

所在节点

Linux

31 条回复

henices

2015-01-16 09:11:14 +08:00

@millken 求样本

chinni

2015-01-16 09:36:02 +08:00

我之前也帮别人清理过这个, 样本在这里 http://cl.ly/0Z3b3X1c2Y0Y

chinni

2015-01-16 09:40:07 +08:00

其实原始文件在 /usr/bin/dpkgd/ 下面......

crystone

2015-01-16 09:45:26 +08:00

赶紧去过看看

mcone

2015-01-16 10:06:03 +08:00

居然没有替换ls，差评不解释……

我还在学校的时候，一个将unix入门的老师，一个可爱的小老头就给我们演示过一个很简单但是很nb的“病毒”，自动发作，各种方式无法根除…骗了我们好几天，后来发现这个“病毒”方法很简单……

1. 把.目录加入到PATH的最前面
2. 在大家登录用户~下增加一个被替换过的ls(执行后会替换各种常用命令, ifconfig, ps啥的，最后再执行原始的`ls`，顺便在结果里抹去这个`~/ls`文件存在的痕迹……)
3. 嗯，然后就没有然后了……

clino

2015-01-16 10:23:06 +08:00

我也好奇这种是怎么中的,不知道是直接运行来源有问题的安装文件还是怎么搞的

winsyka

2015-01-16 13:49:13 +08:00

elasticsearch 远程代码执行。

dansong

2015-01-16 15:53:00 +08:00

陈哥QQ多少 :)

aiwha

2015-01-16 16:38:07 +08:00

这都太低级了，应该搞个内核模块来隐藏木马文件。。。

helloworld00

2015-01-17 04:32:00 +08:00

以前弱口令也中过一次招

对方要隐藏到各个文件夹里随意改个名你很难查出来的

我觉得最好的还是重装系统。。。。

vinian

2016-02-01 14:11:28 +08:00

这个文件也更改了
/usr/bin/chattr

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/162482

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.