一、背景

晚上看到有臺服務器流量跑的很高，明顯和平常不一樣，流量達到了800Mbps，第一感覺應該是中木馬了，被人當做肉雞了，在大量發(fā)包。
我們的服務器為了最好性能，防火墻（iptables）什么的都沒有開啟，但是服務器前面有物理防火墻，而且機器都是做的端口映射，也不是常見的端口，按理來說應該是滿安全的，可能最近和木馬有緣吧，老是讓我遇到，也趁這次機會把發(fā)現(xiàn)過程記錄一下。

二、發(fā)現(xiàn)并追蹤處理

1、查看流量圖發(fā)現(xiàn)問題

查看的時候網(wǎng)頁非?？ǎ械臅r候甚至沒有響應。

2、top動態(tài)查看進程

我馬上遠程登錄出問題的服務器，遠程操作很卡，網(wǎng)卡出去的流量非常大，通過top發(fā)現(xiàn)了一個異常的進程占用資源比較高，名字不仔細看還真以為是一個Web服務進程。

4、結(jié)束異常進程并繼續(xù)追蹤

干掉進程之后，流量立刻下來了，遠程也不卡頓了，難道刪掉程序文件，干掉異常進程我們就認為處理完成了么？想想也肯定沒那么簡單的，這個是木馬啊，肯定還會自己生成程序文件（果然不出我所料，在我沒有搞清楚之前，后面確實又生成了）我們得繼續(xù)追查。

5、查看登錄記錄及日志文件secure

通過命令last查看賬戶登錄記錄，一切正常。查看系統(tǒng)文件message并沒有發(fā)現(xiàn)什么，但是當我查看secure文件的時候發(fā)現(xiàn)有些異常，反正是和認證有關(guān)的，應該是嘗試連進來控制發(fā)包？

7、更多異常文件的發(fā)現(xiàn)

查看定時任務文件crontab并沒有發(fā)現(xiàn)什么一次，然后查看系統(tǒng)啟動文件rc.local，也沒有什么異常，然后進入/etc/init.d目錄查看，發(fā)現(xiàn)比較奇怪的腳本文件DbSecuritySpt、selinux。

想到這里，替換的命令應該很多，單靠我們?nèi)フ铱隙ㄊ墙鉀Q不了的，我的建議最好是重裝操作系統(tǒng)，并做好安全策略，如果不重裝，我下面給一下我的方法，具體行不行有待驗證。

三、木馬手動清除

現(xiàn)在綜合總結(jié)了大概步驟如下：

1、簡單判斷有無木馬

2、上傳如下命令到/root下

3、刪除如下目錄及文件

4、找出異常程序并殺死

5、刪除含木馬命令并重新安裝(或者把上傳的正常程序復制過去也行)

我自己重新安裝好像不行，我是找的正常的機器復制的命令。

四、殺毒工具掃描

1、安裝殺毒工具clamav

2、啟動服務

3、更新病毒庫

由于ClamAV不是最新版本，所以有告警信息?？梢院雎曰蛏壸钚掳姹尽?/p>

4、掃描方法

可以使用clamscan -h查看相應的幫助信息

5、查看日志發(fā)現(xiàn)

把發(fā)現(xiàn)的命令刪掉替換正常的

附錄：Linux.BackDoor.Gates.5

經(jīng)過查詢資料，這個木馬應該是Linux.BackDoor.Gates.5，找到一篇文件，內(nèi)容具體如下：
某些用戶有一種根深蒂固的觀念，就是目前沒有能夠真正威脅Linux內(nèi)核操作系統(tǒng)的惡意軟件，然而這種觀念正在面臨越來越多的挑戰(zhàn)。與4月相比，2014年5月Doctor Web公司的技術(shù)人員偵測到的Linux惡意軟件數(shù)量創(chuàng)下了新紀錄，六月份這些惡意軟件名單中又增加了一系列新的Linux木馬，這一新木馬家族被命名為Linux.BackDoor.Gates。

在這里描述的是惡意軟件家族Linux.BackDoor.Gates中的一個木馬：Linux.BackDoor.Gates.5，此惡意軟件結(jié)合了傳統(tǒng)后門程序和DDoS攻擊木馬的功能，用于感染32位Linux版本，根據(jù)其特征可以斷定，是與Linux.DnsAmp和Linux.DDoS家族木馬同出于一個病毒編寫者之手。新木馬由兩個功能模塊構(gòu)成：基本模塊是能夠執(zhí)行不法分子所發(fā)指令的后門程序，第二個模塊在安裝過程中保存到硬盤，用于進行DDoS攻擊。Linux.BackDoor.Gates.5在運行過程中收集并向不法分子轉(zhuǎn)發(fā)受感染電腦的以下信息：

CPU核數(shù)（從/proc/cpuinfo讀?。?。

CPU速度（從/proc/cpuinfo讀?。?br />

CPU使用（從/proc/stat讀?。?。

Gate'a的 IP（從/proc/net/route讀?。?。

Gate'a的MAC地址（從/proc/net/arp讀取）。

網(wǎng)絡接口信息（從/proc/net/dev讀取）。

網(wǎng)絡設(shè)備的MAC地址。

內(nèi)存（使用/proc/meminfo中的MemTotal參數(shù)）。
發(fā)送和接收的數(shù)據(jù)量（從/proc/net/dev讀取）。
操作系統(tǒng)名稱和版本（通過調(diào)用uname命令）。

啟動后，Linux.BackDoor.Gates.5會檢查其啟動文件夾的路徑，根據(jù)檢查得到的結(jié)果實現(xiàn)四種行為模式。
如果后門程序的可執(zhí)行文件的路徑與netstat、lsof、ps工具的路徑不一致，木馬會偽裝成守護程序在系統(tǒng)中啟動，然后進行初始化，在初始化過程中解壓配置文件。配置文件包含木馬運行所必須的各種數(shù)據(jù)，如管理服務器IP地址和端口、后門程序安裝參數(shù)等。

根據(jù)配置文件中的g_iGatsIsFx參數(shù)值，木馬或主動連接管理服務器，或等待連接：成功安裝后，后門程序會檢測與其連接的站點的IP地址，之后將站點作為命令服務器。

木馬在安裝過程中檢查文件/tmp/moni.lock，如果該文件不為空，則讀取其中的數(shù)據(jù)（PID進程）并“干掉”該ID進程。然后Linux.BackDoor.Gates.5會檢查系統(tǒng)中是否啟動了DDoS模塊和后門程序自有進程（如果已啟動，這些進程同樣會被“干掉”）。如果配置文件中設(shè)置有專門的標志g_iIsService，木馬通過在文件/etc/init.d/中寫入命令行

#!/bin/bash\n<path_to_backdoor>將自己設(shè)為自啟動，然后Linux.BackDoor.Gates.5創(chuàng)建下列符號鏈接：

如果在配置文件中設(shè)置有標志g_bDoBackdoor，木馬同樣會試圖打開/root/.profile文件，檢查其進程是否有root權(quán)限。然后后門程序?qū)⒆约簭椭频?usr/bin/bsd-port/getty中并啟動。在安裝的最后階段，Linux.BackDoor.Gates.5在文件夾/usr/bin/再次創(chuàng)建一個副本，命名為配置文件中設(shè)置的相應名稱，并取代下列工具：

木馬以此完成安裝，并開始調(diào)用基本功能。

執(zhí)行另外兩種算法時木馬同樣會偽裝成守護進程在被感染電腦啟動，檢查其組件是否通過讀取相應的.lock文件啟動（如果未啟動，則啟動組件），但在保存文件和注冊自啟動時使用不同的名稱。

與命令服務器設(shè)置連接后，Linux.BackDoor.Gates.5接收來自服務器的配置數(shù)據(jù)和僵尸電腦需完成的命令。按照不法分子的指令，木馬能夠?qū)崿F(xiàn)自動更新，對指定IP地址和端口的遠程站點發(fā)起或停止DDoS攻擊，執(zhí)行配置數(shù)據(jù)所包含的命令或通過與指定IP地址的遠程站點建立連接來執(zhí)行其他命令。

此后門程序的主要DDoS攻擊目標是中國的服務器，然而不法分子攻擊對象也包括其他國家。下圖為利用此木馬進行的DDoS攻擊的地理分布：

最新評論