清理了一个服务器 DDos 木马

Distributions

中文资源站

› 网易开源镜像站

This topic created in 4142 days ago, the information mentioned may be changed or developed.

背景：
申请了5台机器来测试elasticsearch集群，机房说机器一直在往外发包。
因为其中的一台配置了环境，不想重装，只好硬着头皮手动清理。

简单查杀：
top查看，很明显有个名为/root/46000的进程，根据经验肯定就是木马。杀之！
过了会儿又有了，我想应该是有监控进程。

通过找最近修改文件find / -size +1000000c -mtime -1，发现一些系统程序被替换了。

更精确定位 find / -size 1135000c -mtime -1

/root/46000
/bin/ps
/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
/usr/sbin/lsof

这些就是了，从另一台copy过来，最后清理

/root/46000
/root/conf.n
/tmp/gates.lock
/etc/init.d/DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc2.d/S97DbSecuritySpt
/etc/rc3.d/S97DbSecuritySpt
/etc/rc4.d/S97DbSecuritySpt
/etc/rc5.d/S97DbSecuritySpt

并杀掉相关进程

Supplement 1 · Jan 16, 2015

木马样本：http://drp.io/f/lRc （请勿联网运行）

确实是elaticsearch的问题

检查：
http://nodeip:9200/_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script_fields%22:{%22t%22:{%22script%22:%22Integer.toHexString%2831415926%29%22}}}}

处理：
script.disable_dynamic: true

进程

Mtime

木马

31 replies • 2016-02-01 14:11:28 +08:00

iT2afL0rd

Jan 15, 2015

经验相当丰富啊

ls25145

Jan 15, 2015

我觉得关键在于这些文件怎么进来的？不堵上下次还能再换

hcymk2

Jan 15, 2015

可能是elasticsearch (CVE-2014-3120)

hcymk2

Jan 15, 2015

我以前第一次弄elasticsearch 的时候中过招。

shakespark

Jan 15, 2015

要是病毒把find ls都换了会咋样。。。

choury

Jan 15, 2015 via Android

我在想ps都换了，怎么不换呢

choury

Jan 15, 2015 via Android

手抖了，是“怎么不换top呢”

guairen

Jan 15, 2015

你们说的，我怎听不明白。只知道TOP。

Draplater

Jan 15, 2015

@shakespark 可以传一个 busybox

mahone3297

Jan 15, 2015

find, ls 都替换。。。好思路。。。大家都好邪恶。。。

zhicheng

Jan 15, 2015

这个 Rootkit 明显写得不合格，差评。

horsley

Jan 15, 2015

你是不是用了wdcp

hiboshi

Jan 16, 2015

既然被替换了系统文件应该是中了rootkit吧但是还能使用top 明显这个不合格同样差评

besto

Jan 16, 2015

@choury
@hiboshi

只用htop...

Livid

MOD

PRO

Jan 16, 2015

最近好多人都中了这个……

chigco

Jan 16, 2015

没查明是怎么中的吗？

blijf

Jan 16, 2015

我也有遇到过，不管是win还是lin都是这个DbSecuritySpt

williamx

Jan 16, 2015 via iPhone

看了个半懂。最后清理的文件是怎么找出来的？前几天我do上的翻墙机也中了，最后只能重装啊。求指点。

hushuang

Jan 16, 2015

根据描述应该是这个木马或者衍生
http://news.drweb.cn/show/?i=230&lng=cn&c=5

"如果在配置文件中设置有标志g_bDoBackdoor，木马同样会试图打开/root/.profile文件，检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段，Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本，命名为配置文件中设置的相应名称，并取代下列工具：

/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

确实只替换了这些程序不设计 top find

rangercyh

Jan 16, 2015

@shakespark 真是好思路。。。。不得不赞一个。。。

henices

Jan 16, 2015

@millken 求样本

chinni

Jan 16, 2015

我之前也帮别人清理过这个, 样本在这里 http://cl.ly/0Z3b3X1c2Y0Y

chinni

Jan 16, 2015

其实原始文件在 /usr/bin/dpkgd/ 下面......

crystone

Jan 16, 2015

赶紧去过看看

mcone

Jan 16, 2015

居然没有替换ls，差评不解释……

我还在学校的时候，一个将unix入门的老师，一个可爱的小老头就给我们演示过一个很简单但是很nb的“病毒”，自动发作，各种方式无法根除…骗了我们好几天，后来发现这个“病毒”方法很简单……

1. 把.目录加入到PATH的最前面
2. 在大家登录用户~下增加一个被替换过的ls(执行后会替换各种常用命令, ifconfig, ps啥的，最后再执行原始的`ls`，顺便在结果里抹去这个`~/ls`文件存在的痕迹……)
3. 嗯，然后就没有然后了……