V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
millken
V2EX  ›  Linux

清理了一个服务器 DDos 木马

  •  
  •   millken ·
    millken · 2015-01-15 18:43:25 +08:00 · 10729 次点击
    这是一个创建于 3608 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:
    申请了5台机器来测试elasticsearch集群,机房说机器一直在往外发包。
    因为其中的一台配置了环境,不想重装,只好硬着头皮手动清理。

    简单查杀:
    top查看,很明显有个名为/root/46000的进程,根据经验肯定就是木马。杀之!
    过了会儿又有了,我想应该是有监控进程。

    通过找最近修改文件find / -size +1000000c -mtime -1,发现一些系统程序被替换了。

    更精确定位 find / -size 1135000c -mtime -1

    /root/46000
    /bin/ps
    /bin/netstat
    /usr/bin/bsd-port/getty
    /usr/bin/.sshd
    /usr/sbin/lsof

    这些就是了,从另一台copy过来,最后清理

    /root/46000
    /root/conf.n
    /tmp/gates.lock
    /etc/init.d/DbSecuritySpt
    /etc/rc1.d/S97DbSecuritySpt
    /etc/rc2.d/S97DbSecuritySpt
    /etc/rc3.d/S97DbSecuritySpt
    /etc/rc4.d/S97DbSecuritySpt
    /etc/rc5.d/S97DbSecuritySpt

    并杀掉相关进程
    第 1 条附言  ·  2015-01-16 09:34:33 +08:00
    木马样本:http://drp.io/f/lRc (请勿联网运行)

    确实是elaticsearch的问题

    检查:
    http://nodeip:9200/_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script_fields%22:{%22t%22:{%22script%22:%22Integer.toHexString%2831415926%29%22}}}}

    处理:
    script.disable_dynamic: true
    31 条回复    2016-02-01 14:11:28 +08:00
    iT2afL0rd
        1
    iT2afL0rd  
       2015-01-15 18:46:46 +08:00
    经验相当丰富啊
    ls25145
        2
    ls25145  
       2015-01-15 19:16:11 +08:00
    我觉得关键在于这些文件怎么进来的?不堵上下次还能再换
    hcymk2
        3
    hcymk2  
       2015-01-15 19:26:12 +08:00
    可能是elasticsearch (CVE-2014-3120)
    hcymk2
        4
    hcymk2  
       2015-01-15 19:27:39 +08:00
    我以前第一次弄elasticsearch 的时候中过招。
    shakespark
        5
    shakespark  
       2015-01-15 19:35:48 +08:00   ❤️ 1
    要是病毒把find ls都换了会咋样。。。
    choury
        6
    choury  
       2015-01-15 21:05:49 +08:00 via Android
    我在想ps都换了,怎么不换呢
    choury
        7
    choury  
       2015-01-15 21:06:30 +08:00 via Android
    手抖了,是“怎么不换top呢”
    guairen
        8
    guairen  
       2015-01-15 21:39:46 +08:00
    你们说的,我怎听不明白。 只知道TOP。
    Draplater
        9
    Draplater  
       2015-01-15 21:41:20 +08:00
    @shakespark 可以传一个 busybox
    mahone3297
        10
    mahone3297  
       2015-01-15 21:50:43 +08:00
    find, ls 都替换。。。好思路。。。大家都好邪恶。。。
    zhicheng
        11
    zhicheng  
       2015-01-15 21:53:46 +08:00
    这个 Rootkit 明显写得不合格,差评。
    horsley
        12
    horsley  
       2015-01-15 22:48:36 +08:00
    你是不是用了wdcp
    hiboshi
        13
    hiboshi  
       2015-01-16 00:19:32 +08:00
    既然 被替换了系统文件 应该是中了rootkit吧 但是 还能使用top 明显 这个 不合格 同样差评
    besto
        14
    besto  
       2015-01-16 01:58:02 +08:00
    @choury
    @hiboshi

    只用htop...
    Livid
        15
    Livid  
    MOD
       2015-01-16 01:59:58 +08:00
    最近好多人都中了这个……
    chigco
        16
    chigco  
       2015-01-16 02:09:47 +08:00
    没查明是怎么中的吗?
    blijf
        17
    blijf  
       2015-01-16 02:49:22 +08:00
    我也有遇到过,不管是win还是lin都是这个DbSecuritySpt
    williamx
        18
    williamx  
       2015-01-16 08:13:05 +08:00 via iPhone
    看了个半懂。最后清理的文件是怎么找出来的?前几天我do上的翻墙机也中了,最后只能重装啊。求指点。
    hushuang
        19
    hushuang  
       2015-01-16 08:34:59 +08:00
    根据描述 应该是这个木马 或者衍生
    http://news.drweb.cn/show/?i=230&lng=cn&c=5

    "如果在配置文件中设置有标志g_bDoBackdoor,木马同样会试图打开/root/.profile文件,检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段,Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本,命名为配置文件中设置的相应名称,并取代下列工具:

    /bin/netstat
    /bin/lsof
    /bin/ps
    /usr/bin/netstat
    /usr/bin/lsof
    /usr/bin/ps
    /usr/sbin/netstat
    /usr/sbin/lsof
    /usr/sbin/ps

    确实只替换了这些程序 不设计 top find
    rangercyh
        20
    rangercyh  
       2015-01-16 09:01:56 +08:00
    @shakespark 真是好思路。。。。不得不赞一个。。。
    henices
        21
    henices  
       2015-01-16 09:11:14 +08:00
    @millken 求样本
    chinni
        22
    chinni  
       2015-01-16 09:36:02 +08:00
    我之前也帮别人清理过这个, 样本在这里 http://cl.ly/0Z3b3X1c2Y0Y
    chinni
        23
    chinni  
       2015-01-16 09:40:07 +08:00
    其实原始文件在 /usr/bin/dpkgd/ 下面......
    crystone
        24
    crystone  
       2015-01-16 09:45:26 +08:00
    赶紧去过看看
    mcone
        25
    mcone  
       2015-01-16 10:06:03 +08:00   ❤️ 3
    居然没有替换ls,差评不解释……

    我还在学校的时候,一个将unix入门的老师,一个可爱的小老头就给我们演示过一个很简单但是很nb的“病毒”,自动发作,各种方式无法根除…骗了我们好几天,后来发现这个“病毒”方法很简单……

    1. 把.目录加入到PATH的最前面
    2. 在大家登录用户~下增加一个被替换过的ls(执行后会替换各种常用命令, ifconfig, ps啥的,最后再执行原始的`ls`,顺便在结果里抹去这个`~/ls`文件存在的痕迹……)
    3. 嗯,然后就没有然后了……
    clino
        26
    clino  
       2015-01-16 10:23:06 +08:00
    我也好奇这种是怎么中的,不知道是直接运行来源有问题的安装文件还是怎么搞的
    winsyka
        27
    winsyka  
       2015-01-16 13:49:13 +08:00
    elasticsearch 远程代码执行。
    dansong
        28
    dansong  
       2015-01-16 15:53:00 +08:00
    陈哥QQ多少 :)
    aiwha
        29
    aiwha  
       2015-01-16 16:38:07 +08:00 via Android
    这都太低级了,应该搞个内核模块来隐藏木马文件。。。
    helloworld00
        30
    helloworld00  
       2015-01-17 04:32:00 +08:00
    以前弱口令也中过一次招

    对方要隐藏到各个文件夹里随意改个名你很难查出来的

    我觉得最好的还是重装系统。。。。
    vinian
        31
    vinian  
       2016-02-01 14:11:28 +08:00
    这个文件也更改了
    /usr/bin/chattr
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1008 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 22:58 · PVG 06:58 · LAX 14:58 · JFK 17:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.