上周有朋友反映一台伺服器流量超標, 懷疑中木馬, 請求幫忙處理, 平時長期在應用層打雜習慣了, 其實並沒有什麼底氣去排查系統底層後門這些東西 。
1. 查看系統狀態資訊發現問題
發現目標主機存在可疑IP連接資訊
經排查系tmp目錄下的可疑檔Welcom運行, 同時發現了複製在bin目錄下的雙胞胎。
2. top動態查看進程, 確定果然是/tmp/Welcom這玩意在搞怪
3. 拉下來稍微研究了下, 逆向能力一般, 只能最簡單的看了看
各位可自行去拉取腳本
看行為應該是挺典型的minerd挖礦程式, 應該是做過變異, 哈勃竟然查不出來問題。
後邊用其他引擎掃了掃基本也能確定類型
4、根據惡意程式的腳本, 去查看系統定時任務
根據排查, 惡意程式的感染時間較久, 根據檔使用者屬性應是來源於最初的Tomcat所屬許可權的用戶, 可能是通過前期低版本的Tomcat伺服器漏洞被利用導致, 後來以root用戶運行了Tomcat導致感染了root用戶。 (最初的症狀就是一開啟Tomcat就流量超標)。
三、清理方案1. 清除主機上所有的非自主設置定時任務;
2. 清除/tmp目錄下可疑檔, 該目錄為暫存檔案, 建議不需要的都可清理
3. 清除Bin目錄下Welcom檔
4. 清除/var/spool/cron/rootc檔
5. 清除/etc/wnell
6. 殺死Welcom進程(pkill Welcom觀察一段時間是否有重啟跡象)
7. Iptalbless或防火牆策略限制對惡意IP:45.76.78.9和功能變數名稱的連接http://love.suime.win/ (無法第一時間清除程式或無法保證清除乾淨的雙保險)
8. 刪除系統中不用的帳戶
9. 關閉不需要的埠和服務, 卸載不需要的元件如samba
10. 升級openssh到最新版本、Tomcat也及時升級最新版本(不建議使用root用戶許可權啟動tomcat)
11. 排查/root/.ssh/目錄下是否都是信任的主機, 排除內網已有其他主機被攻擊作為跳板機的可能。
附錄(順道發現的DDoS後門):
在排查開機啟動項時, 發現/etc/init.d明顯兩個時間和長相都很怪異的檔, 其實在清理/tmp目錄時候已經懷疑了/tmp/phpsos, 就扔給一位逆向大牛同事分析了下, 說是很明顯的DDoS.
後來查了下,這類木馬比較常見,分享一下當時我用的笨方法比較快速的清除,
1.根據發現的那兩個惡意檔入侵時間定位了那個時間點被修改的所有檔(很常見的替換ps和netstat…)
2. 根據檔的大小,找出所有木馬主運行程式
其實剛剛才知道可以根據檔位元組大小直接查找同樣大小的檔find / -size 1223123c
清除結束後最後還得copy或者重裝正常的系統命令。
*本文作者:彈指江山,
後來查了下,這類木馬比較常見,分享一下當時我用的笨方法比較快速的清除,
1.根據發現的那兩個惡意檔入侵時間定位了那個時間點被修改的所有檔(很常見的替換ps和netstat…)
2. 根據檔的大小,找出所有木馬主運行程式
其實剛剛才知道可以根據檔位元組大小直接查找同樣大小的檔find / -size 1223123c
清除結束後最後還得copy或者重裝正常的系統命令。
*本文作者:彈指江山,