抓住Linux木马的小尾巴并且清除它
抓住Linux木马的小尾巴并且清除它
Linux木马越来越常见,而Linux系统常常运行着重要的业务,所以一旦被植入木马,对业务的影响会很大。不久前,某 客户被安全机构检测出流量异常,客户寻找了许久都没有发现问题出在什么地方,没办法的情况找到我们寻求帮助。该木马也的确非常麻烦,无论你怎么删除它一会 又会出现。其实当时在客户寻求我们帮助的时候已经发现了被感染的机器是那台。只是迫于自己无法删除所以没有对我们坦诚而已。态度就是一问三不知啊!没辙只 好自己开始想办法想办法。
过程介绍
这么多台设备总不能一台台上机检测吧!那我会疯的。逼于无奈只好,架设上设备’铁穹’在网络出口处对流量进行分析,还是这玩意管用啊。很快的就发现了一台主机对外流量发送异常。原本以为发现就好办了删除就是了撒!(大功告成回家洗白白)可是现实总是会让你恶心后才罢手。
很 快的找到了木马所在的文件删除掉。重启计算机检测流量。尼玛什么情况还在对外发包,逼于无奈的情况下只好利用铁穹对流量强大的还原功能,将流量还原进行详 细分析,看是否是发的同样报文。哎一看既然还是同样的报文。再次上到服务器,无语啊!进程又在了。没辙只好把木马拿出来进行分析。
使用设备
整个清除木马过程中所使用的的硬件设备是铁穹高级持续性威胁预警系统和ida、gdb、edb、等分析软件,详情如下:
该木马运行之后会向远程IP的19150端口发送SYN报文,平均每秒发送三万多条数据包,是典型的SYN FLOOD攻击。分析后发现感染的木马是会主动发起DDos攻击,属于XorDDos家族。
木马行为分析
文件扫描信息
文件逆向分析【主要行为】
1) 解密字符串
木马通过解密钥匙:”BB2FA36AAA9541F0″,对字符串进行XOR解密,解密出的字符串包括:
Default
/boot//var/run/sftp.pid/lib/udev/udev/lib/udev/ http://info.3000uc.com/config.rar/var/run/
解密出以下系统命令:
Default
cat resolv.confshbashsups -eflstopnetstat -annetstat -antopgrep "A"sleep 1cd /etcecho "find"ifconfig eth0ifconfigroute -ngnome-terminalidwhowhoamipwduptime
这次字符串在后续的操作中,会被用于文件拷贝和系统命令的执行。
1) 拷贝文件
在清除过程中可说是九曲十三弯,木马的自我保护机制做的非常到位。拥有自复制、重命名等恶心功能。
木马会将原始文件拷贝两份到不同的目录下,
将文件拷贝到/lib/udev/目录下,并将文件名伪装成udev。
将文件拷贝到/boot/目录下,命名随机。
2) 运行子进程并删除原始文件
木马通过fork函数将父进程结束,并删除父进程的文件,同时运行boot下的木马程序,继续进行系统感染。
3) 创建计划任务
木马通过创建时间计划任务来实现启动,并每3分钟检测程序是否运行,如果不存在,会继续通过拷贝副本运行。
关键脚本文件
/etc/crontab,内容如下
Default
# m h dom mon dow user command#*/3 * * * * root /etc/cron.hourly/cron.sh
/etc/cron.hourly/cron.sh,内容如下
Default
#!/bin/shPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& donecp /lib/udev/udev /lib/udev/debug/lib/udev/debug
4) 进行网络通讯
木马会起多线程进行网络操作,利用下载文件、更新文件、进行DDos攻击等。XorDdos木马来自中国,攻击的对象也同样来自中国。
5) 其他功能
从静态分析来看,木马还具有rootkit的功能,首先它会通过CheckLKM函数决定是否进行rootkit感染,前提是能打开 /proc /rs_dev,功能包括:hide_file, hide_proc, hide_tcp4_ports, hide_tcp6_ports, hide_udp4_ports, hide_udp6_ports; firewall_acceptip, firewall_dropip。
同时具有绕过iptables的功能。
木马清除
找到 /lib/udev/udev /etc/cron.hourly/cron.sh 以及 /boot下的文件,并删除,然后重启。
【via@ 南京东巽】
抓住Linux木马的小尾巴并且清除它相关推荐
- 【面试系列三】面试是面试者与面试官的双向沟通,如何抓住面试官的小尾巴以及面试过程中需要避开的一些减分项!
总结了13条经典面试的回答套路让你在面试时有效地展示自己的才华,把握秋招珍贵的机会! 1.谈谈你的简历(自我介绍) 可以根据以下三个步骤去回答问题,而且用不超过3分钟来阐述. 简单开场:包括基本的教育 ...
- http抓包实战 pdf_实战 Wireshark https 抓包 2, 再抓 Moka 蹭 OurATS 的小尾巴
在昨天的文章 实战 Wireshark https 抓包,抓住 Moka 蹭 OurATS 的小尾巴 里,我们通过 chromium-browser 的 SSLKEYLOGFILE 环境变量特性,实现 ...
- linux服务器中病毒后的清除处理
linux服务器中病毒后的清除处理 之前看到公司同事在部署服务器的时候,发现中了挖矿病毒,很是恼火.因为我平时很少接触服务器,一般都是部署项目,配置域名就完事.所以遇到这种情况,只能在一旁看着干着急. ...
- 在LINUX下玩小游戏
在LINUX下玩小游戏 阮志峰 2001年 4期 2001年春节就快到了,在春节假期中,大家都想尽情放松一下吧!其实,在Linux下也有很多好玩的小游戏.下面,小编就向大家介绍几个,愿大家过一个欢 ...
- 小尾巴翻译APP产品分析
最近突然对翻译行业内的app有点兴趣,所以利用闲暇之余,试着做了做分析.今天介绍的小尾巴app是一款旨在解决用户在出境旅游中遇到的语言问题的一款集机器内翻译和人工翻译一身的旅行翻译软件,实时高效的翻译 ...
- linux的tmp目录不会清空,关于Linux系统中/tmp目录的清除问题
关于Linux系统中/tmp目录的清除问题 相当悲剧的问题是,之前保存在/tmp目录中的一些数据丢了.现在发现已经是第二次发生了,前一次以为是其他人误操作删除的,今天才发现这个和系统有关系.完全是因为 ...
- 「浏览器插件」网址小尾巴终结者
前言 在我们日常的开发调试中,会在 URL 上添加一些特殊的小尾巴 用来显示调试界面或者开启一些特殊功能,当你接触了越来越多的系统后,你需要使用的小尾巴就变得越来越多,记忆和使用成本非常大,以及含有小 ...
- 鸿蒙测试机型微博,华为多款机型开启鸿蒙尝鲜:微博已适配HarmonyOS小尾巴
日前,华为已经正式宣布,将于6月2日晚20点召开鸿蒙操作系统及华为全场景新品发布会,届时将正式发布鸿蒙OS正式版. 同时,今天华为还开启了鸿蒙OS首批消费者尝鲜计划,其中正式版可参与机型包括Mate ...
- linux下各种小命令
小技巧:2>&1把标准错误重定向到标准输出. 2>/dev/null把标准错误扔到黑洞去 本文主要收集linux下各种小命令 cut cut 命令从文件或者管道的每一行剪切字节.字 ...
最新文章
- tomcat和nginx的使用
- express 解析 ajax post 数据 body 为空对象
- jpa单向多对一关联映射
- 日光能和电池两用计算机,计算机类专业竞赛模拟试题(doc 7页)全面优秀版优秀版...
- python while 循环 if elif else 判断
- SpringSecurity权限控制之异常处理方式三
- PHP递归实现无限极分类
- python2048游戏代码_【Python】用Python实现2048小游戏(源代码,1.0版本)
- 【转】.net框架读书笔记---CLR内存管理\垃圾收集(六)
- 【Java】数据结构——队列(图文)
- JS中setInterval、setTimeout不能传递带参数的函数的解决方法
- java中 resource_Java中如何获取resource的源码分析
- ZED2+ORB_SLAM3
- 运行后台程序出现[1]+ Exit
- ios android 宏,iOS常用宏定义
- android Google Advertising ID 如何重置
- 手机查看pcap文件_Linux下如何操作 pcap 文件
- ddl是什么意思网络语_DDL是什么意思?DDL跟数据库关系介绍 常见的DDL语句分享...
- vs2012中将图片放到resource中进行调用
- 0.泡妞与设计模式(一)工厂模式
热门文章
- 携程网首页案例(flex布局)
- Pytorch使用实践,教程,库,调优,计算量,模型搭建
- python卡通滤镜_Python批量为照片应用卡通动漫滤镜
- OsgEarth —— 笔记10 - 加入指北针、两点连续测量距离显示(附源码)
- 宝塔 Nginx免费防火墙 post 参数值长度超过20w已被系统拦截(post_max_size)
- 《思辨与立场》速读笔记
- Linux下的开源免费杀毒软件Clamav
- 基于opencv-python的人脸识别算法
- 华为云计算机玩游戏,有没有类似华为云电脑的软件,用来玩游戏
- 找工作可靠点的招聘网站