Unix.Trojan.Agent-37008木马查杀

最近一天突然发现公司网络出问题了，时不时就断网，起初行政部门联系网络运营商，以为是他们那边的网络故障，而且刚开始运营商说是光猫可能出故障了，已经在给我们安排发一个新的过来。光猫还没收到，宽带管理人员发现光猫被内网发出的大量数据给卡死的，让我们排查一下内网设备。

于是我们赶紧登录路由查日志，发现路由也会被卡死，在某一段时间内突然发送大量数据到某个IP地址。第一反应是内网机器中毒了，一排查发现是从gitlab服务器发出去的。正好这台服务器平常是我来管理，这下解决这个问题成了我一个人的事，头大。。。

于此同时为了不影响公司网络，在路由器上设置了防止大流量使路由器卡死的情况，如果哪台机器发送流量超过阈值，直接断开该设备网络连接。我赶紧登录服务器，查看情况，首先是确定哪个服务发送出去的，查看各服务进程，发现服务启动的端口与发送时的端口完全不一样，所以只能想办法找一个实时监控流量的软件，后来下载了iftop，运行软件后，发现稍不注意就发送峰值就过去了，因为在路由上限制了后，基本几秒钟就断掉木马发送的数据了。所以还是决定把路由器的设置放开，这样好监测，因为我通过对这台服务器的监测发现之前攻击每次都是持续十分钟左右，而且只是单向向某个IP每秒发送上G的数据，很明显属于DDoS攻击手法。之前也查了开启udp的服务端口，看着也不像。放开之后，终于被我监测到了

当发现到异常时，赶紧在另一个窗口输入命令

lsof -i

来查看当前哪个服务在使用40199和37974端口，果然发现gitag-ssh这个服务在使用，并且是使用udp协议，由于当时着急就没截图，几分钟攻击结束后在截图已经看不到了。但是我看到这个服务名称时就觉得智商被侮辱，git/ag/ssh这特么什么啊，但怕万一杀错进程还是上网搜了一下，完全搜不出来，所以确定就是这个病毒程序。

同时也看到它一直在访问104.233.163.12:10443这个地址，我直接用浏览器打开加端口的地址，发现要输入用户名密码才能进入，之后我去掉端口号，直接用默认80打开，居然能打开。。。。

页面长这样。。。。

我下载了b、bbb、xx三个文件，用文本编辑器打开后长这样

虽然服务器中运行的病毒可能不是bb这个脚本文件里下载的那个，但思路肯定差不多。

于是我赶紧去/tmp文件里看一下，居然在tmp文件里发现了gitag-ssh这个文件，也是git用户所有，这下确定了这个文件就是病毒。

为了弄清楚这个病毒，我又下载了病毒查杀软件clamscan。更新病毒库后查杀。结果如下

至此终于找到了这个罪魁祸首。把病毒输入Google，发现有被中招的服务器系统的命令程序都被修改，所以在你未上传安装原始版本的情况下，用查看端口这样的命令根本显示不出来。

于是乎我赶紧用杀毒软件全盘扫描，虽然查到俩个病毒文件，但都是很久以前下载部署某个系统里的文件，为了安全重命名后放到了单独文件夹里。所以我的服务器目前看没有遭到其他的破坏。也可以确定我的root用户没有被破。之前在首次登录登录root用户时，我就查看了ssh的授权秘钥列表，没发现异常，而且我设置的root用户是不可以密码登录，所以还是有几分保障。(还可用lastlog这样的命令查看系统用户登录信息)

在接下来，需要确定服务器哪里出了问题，被黑客拿到了git用户的权限。我的服务器只部署了gitlab 和一个内测的软件分发系统，所以我就搜了下gitlab漏洞，结果发现好多条这个

GITLAB 远程命令执行漏洞(CVE-2021-22205)

查看之后我的gitlab版本就是在影响的范围，当时也没具体看这个漏洞是怎么被黑客利用的。只是单纯猜想肯定是拿到git用户的权限了，而且通过查看/var/log/secure日志发现有人一直在暴力破解git ssh登录用户。所以直接屏蔽了外网IP连接ssh的权限。

之后开启升级gitlab系统的漫长之路，根据官方给的路线图，升到13.8.8时，出现了问题，一直报502错误，因为按计划要发测试包，没办法，直接用镜像还原到之前版本。原以为能消停一下，毕竟做了ssh登录限制，没成想第二天晚上又开始作妖，通过路由器日志发现这次只在晚上启动攻击，白天隐匿。

这次查看进程一眼就看出了它，端口号五位数。。。进程名胡乱写的。

禁ssh登录没用后才看了下那个gitlab漏洞原理，发现根本无需盗用或破解gitlab用户密码，太可怕，基本百分百破防。所以必须继续升级才能解决，接下来又是一个漫长的升级过程，且看下一篇《gitlab升级之路》，纪念一下踩过的坑。

本人文笔、技术水平有限，有表述不准确的地方还请各位看官批评指正！！！

Unix.Trojan.Agent-37008木马查杀相关推荐

svcagent32.exe,javaM.exe木马查杀解决方案（转Ad0.cn）
svcagent32.exe,javaM.exe木马查杀解决方案(Ad0.cn原创) svcagent32.exe, svcupdate.exe木马查杀方案(病毒清除)! svcagent32木马特征 ...
linux服务器杀毒软件命令,悬镜Linux服务器卫士-木马查杀详解
原标题:悬镜Linux服务器卫士-木马查杀详解今天悬镜小编详细给大家讲解下悬镜管家中-木马查杀功能的使用情况. 对于WebShell的理解,"Web"显然需要服务器开放Web服务 ...
Linux安全之PHP木马查杀与防范
1.服务器自身系统安全: 使用最新的操作系统,或者最新的稳定版(比如Ubuntu的LTS),定期打好更新,系统权限合理划分,重要文件做权限安全保护. 比如: # chattr +i /etc/pass ...
病毒木马查杀实战第009篇：QQ盗号木马之手动查杀
前言之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香" ...
病毒木马查杀实战第026篇：“白加黑”恶意程序研究（上）
前言众所周知,传统的恶意程序都是由单一文件构成的.从而实现某一种或者几种恶意功能. 而这类的恶意程序为了避免被发现以及被查杀,往往会採用五花八门的自我隐藏技术以及免杀技术,病毒程序的作者非常多时候也 ...
病毒木马查杀实战第010篇：QQ盗号木马之十六进制代码分析
前言按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...
病毒木马查杀的问与答
1 哪种类型病毒难以处理感染性的病毒,因为这种病毒会破坏文件系统,而如果要恢复文件系统就需要对病毒进行逆向分析.如果是普通的病毒感染,不需要进行逆向分析,就可以编写出来专杀软件. 2 对病毒进行分析 ...
一键清理网站木马文件，从此网站拥有专属保镖 ——阿里云虚拟主机推出木马查杀功能
近日,阿里云推出了云虚拟主机网站木马查杀的新功能,十分适合对网站安全不了解.不熟悉的用户,或网站出现挂马情况不清楚如何处理的用户. 阿里云表示,此次网站木马查杀功能是阿里云安骑士专为虚拟主机推出的安全 ...
一键清理网站木马文件，从此网站拥有专属保镖 ——阿里云虚拟主机推出木马查杀功能...
摘要: 近日,阿里云推出了云虚拟主机网站木马查杀的新功能,十分适合对网站安全不了解.不熟悉的用户,或网站出现挂马情况不清楚如何处理的用户. 阿里云表示,此次网站木马查杀功能是阿里云安骑士专为虚拟主机推 ...
病毒木马查杀实战第001篇：基本查杀理论与实验环境配置
前言 <病毒木马查杀>系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀.当然,本 ...

Unix.Trojan.Agent-37008木马查杀

Unix.Trojan.Agent-37008木马查杀相关推荐

最新文章

热门文章