清理了一个服务器 DDos 木马

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 3382 天前的主题，其中的信息可能已经有所发展或是发生改变。

背景：
申请了5台机器来测试elasticsearch集群，机房说机器一直在往外发包。
因为其中的一台配置了环境，不想重装，只好硬着头皮手动清理。

简单查杀：
top查看，很明显有个名为/root/46000的进程，根据经验肯定就是木马。杀之！
过了会儿又有了，我想应该是有监控进程。

通过找最近修改文件find / -size +1000000c -mtime -1，发现一些系统程序被替换了。

更精确定位 find / -size 1135000c -mtime -1

/root/46000
/bin/ps
/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
/usr/sbin/lsof

这些就是了，从另一台copy过来，最后清理

/root/46000
/root/conf.n
/tmp/gates.lock
/etc/init.d/DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc2.d/S97DbSecuritySpt
/etc/rc3.d/S97DbSecuritySpt
/etc/rc4.d/S97DbSecuritySpt
/etc/rc5.d/S97DbSecuritySpt

并杀掉相关进程

第 1 条附言 · 2015-01-16 09:34:33 +08:00

木马样本：http://drp.io/f/lRc （请勿联网运行）

确实是elaticsearch的问题

检查：
http://nodeip:9200/_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script_fields%22:{%22t%22:{%22script%22:%22Integer.toHexString%2831415926%29%22}}}}

处理：
script.disable_dynamic: true

进程

Mtime

木马

31 条回复 • 2016-02-01 14:11:28 +08:00

iT2afL0rd

2015-01-15 18:46:46 +08:00

经验相当丰富啊

ls25145

2015-01-15 19:16:11 +08:00

我觉得关键在于这些文件怎么进来的？不堵上下次还能再换

hcymk2

2015-01-15 19:26:12 +08:00

可能是elasticsearch (CVE-2014-3120)

hcymk2

2015-01-15 19:27:39 +08:00

我以前第一次弄elasticsearch 的时候中过招。

shakespark

2015-01-15 19:35:48 +08:00

要是病毒把find ls都换了会咋样。。。

choury

2015-01-15 21:05:49 +08:00 via Android

我在想ps都换了，怎么不换呢

choury

2015-01-15 21:06:30 +08:00 via Android

手抖了，是“怎么不换top呢”

guairen

2015-01-15 21:39:46 +08:00

你们说的，我怎听不明白。只知道TOP。

Draplater

2015-01-15 21:41:20 +08:00

@shakespark 可以传一个 busybox

mahone3297

2015-01-15 21:50:43 +08:00

find, ls 都替换。。。好思路。。。大家都好邪恶。。。

zhicheng

2015-01-15 21:53:46 +08:00

这个 Rootkit 明显写得不合格，差评。

horsley

2015-01-15 22:48:36 +08:00

你是不是用了wdcp

hiboshi

2015-01-16 00:19:32 +08:00

既然被替换了系统文件应该是中了rootkit吧但是还能使用top 明显这个不合格同样差评

besto

2015-01-16 01:58:02 +08:00

@choury
@hiboshi

只用htop...

Livid

MOD

2015-01-16 01:59:58 +08:00

最近好多人都中了这个……

chigco

2015-01-16 02:09:47 +08:00

没查明是怎么中的吗？

blijf

2015-01-16 02:49:22 +08:00

我也有遇到过，不管是win还是lin都是这个DbSecuritySpt

williamx

2015-01-16 08:13:05 +08:00 via iPhone

看了个半懂。最后清理的文件是怎么找出来的？前几天我do上的翻墙机也中了，最后只能重装啊。求指点。

hushuang

2015-01-16 08:34:59 +08:00

根据描述应该是这个木马或者衍生
http://news.drweb.cn/show/?i=230&lng=cn&c=5

"如果在配置文件中设置有标志g_bDoBackdoor，木马同样会试图打开/root/.profile文件，检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段，Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本，命名为配置文件中设置的相应名称，并取代下列工具：

/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

确实只替换了这些程序不设计 top find

rangercyh

2015-01-16 09:01:56 +08:00

@shakespark 真是好思路。。。。不得不赞一个。。。

henices

2015-01-16 09:11:14 +08:00

@millken 求样本

chinni

2015-01-16 09:36:02 +08:00

我之前也帮别人清理过这个, 样本在这里 http://cl.ly/0Z3b3X1c2Y0Y

chinni

2015-01-16 09:40:07 +08:00

其实原始文件在 /usr/bin/dpkgd/ 下面......

crystone

2015-01-16 09:45:26 +08:00

赶紧去过看看

mcone

2015-01-16 10:06:03 +08:00

居然没有替换ls，差评不解释……

我还在学校的时候，一个将unix入门的老师，一个可爱的小老头就给我们演示过一个很简单但是很nb的“病毒”，自动发作，各种方式无法根除…骗了我们好几天，后来发现这个“病毒”方法很简单……

1. 把.目录加入到PATH的最前面
2. 在大家登录用户~下增加一个被替换过的ls(执行后会替换各种常用命令, ifconfig, ps啥的，最后再执行原始的`ls`，顺便在结果里抹去这个`~/ls`文件存在的痕迹……)
3. 嗯，然后就没有然后了……