29

安全事件应急响应 | Linux系统BillGates botnet component查杀

 5 years ago
source link: http://www.freebuf.com/articles/es/184613.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

*本文作者:橙子xx001,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

BillGates恶意软件针对运行中的linux服务器,其主要目的是感染服务器,将它们连接在一个通过中央 C & C服务器控制的僵尸网络中,指示机器人在目标上发起 DDoS 攻击。根据 Akamai 的安全情报研究小组 (SIRT),目前黑客的装备已从比较旧的XOR DDoS 僵尸网络装备已经切换到 BillGates 僵尸网路。

安全事件分析及处置

第一次做linux系统的应急响应事件,找到之前收藏的一篇黑客入侵应急排查文章,收益颇多。此次事件是服务器攻击外网别的主机,很有可能是中病毒了。(参考链接为: https://www.leiphone.com/news/201706/oCidY2C8IPHt82mF.html?viewType=weixin 。)

1、查看防火墙

首先查看了防火墙上面的日志,发现大量的日志报警信息,均是CPU使用率过高。

IneQVjZ.jpg!web

和已知情况差不多,服务器和外地一主机进行大量的会话连接,应该是服务器被当作肉鸡对外网别的机器进行攻击。

2、查看服务器

登录上服务器,查看网络相关情况,发现该服务器对外发包68.4TB数据,流量之大让人有些惊讶。

rEveimi.jpg!web

查看进程的详细信息,发现有一个进程占cpu资源非常多,如下图所示。初步判断这是病毒的相关进程,对libstdc进程进行处理,先强制停止该进程,命令为 killall-9 libstdc ,意为关闭所有名为libstdc的进程,也可后面跟对应的pid号。

NvuEnai.jpg!web

找到病毒的所在位置使用find命令,在所有目录下查找 find / -namelibstdc ,然后删除相关的程序(绿色代表可执行文件)。

32uENf7.jpg!web

使用 rm –rf 进行删除操作,然而提示没有足够权限。使用 lisattr 命令发现该程序被赋了i权限(文件不可更改),然后用 chattr –i 来去除这个属性就可以顺利删除了。删除后不可掉以轻心,病毒很容易再生,所以防止它再生应立刻给该目录赋予i权限,使用 chattr +i 命令。

vAr2e2R.jpg!web

3、查看任务计划

查看了任务计划,未发现存在libstdc相关计划任务。

4、查看ssh配置文件

eaqEfmJ.jpg!web

查看了sshd_config文件,不存在信任的木马文件 。

5、查看历史命令

只使用了cd、ls、cat等命令,未发现异常,应该是被黑客抹去了。

6、检查其他后门及病毒

安装rkhunter程序,扫描rootkit文件,使用wget命令,不是默认有的,需要自己安装。

BrQvyim.jpg!web

扫描结果如下图所示,发现了BillGates botnet component(比尔盖茨僵尸网络组件)。

eiUBb2Q.jpg!web

去扫描日志/var/log/rkhunter.log中查看可疑文件。找到一些木马后门病毒等,还有木马的启动程序(应该是比尔盖茨僵尸网络的相关组件)。

/tmp/gates.lod
/tmp/moni.lod
/usr/bin/.sshd
/usr/bin/bsd-port/getty
/usr/bin/bsd-port/getty.lock
/etc/init.d/DbSecuritySpt
/etc/rc.d/init.d/DbSecuritySpt
/etc/rc1.d/seclinux

将上面的文件一一删除,删除完以后一定记得要禁止系统服务目录的写入权限:

nqU7Fzz.jpg!web

其中的moni.lod这个可执行文件怎么删除都删不掉,后来采取更改权限来解决,让它无法执行。使用命令为 chmod –R 000 moni.lod

vuiIjiN.jpg!web

删除相关文件后,进行复扫,复扫结果表明,billgates botnet component已消失。

最后在服务器上,安装了杀毒软件clmava,安装命令为 yum -y installepel-release ,将主要目录都扫描一遍如/bin、/usr、/etc、/dev、/tmp等。(参考链接:

https://blog.csdn.net/liumiaocn/article/details/76577867 。)

vIBjEr2.jpg!web

总结

刚开始删除病毒的时候忽略了病毒的再生性,当以为删除完了重启机器后发现病毒又存在了,并且又占了cpu的使用率使得机器很卡。后来查看了多篇文章,看到了禁止系统服务目录的写入权限的办法,之后又重新删除一遍病毒以及后门文件。再次重启就一一查看相关目录,相关病毒文件就不存在了。删除完病毒后,别忘记更改系统密码。查看服务器时,看到很多登录失败的信息以及有几个成功登录的信息。删除不掉的文件,有个笨办法就是把文件的权限改为000,这样就算是病毒它也无法执行。希望此篇文章能够帮助到像我一样的小白们少走些弯路。

*本文作者:橙子xx001,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK