freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

安全事件应急响应 | Linux系统BillGates botnet component查杀
FreeBuf_302302 2018-09-29 13:30:41 2305120

*本文作者:橙子xx001,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

BillGates恶意软件针对运行中的linux服务器,其主要目的是感染服务器,将它们连接在一个通过中央 C & C服务器控制的僵尸网络中,指示机器人在目标上发起 DDoS 攻击。根据 Akamai 的安全情报研究小组 (SIRT),目前黑客的装备已从比较旧的XOR DDoS 僵尸网络装备已经切换到 BillGates 僵尸网路。

安全事件分析及处置

第一次做linux系统的应急响应事件,找到之前收藏的一篇黑客入侵应急排查文章,收益颇多。此次事件是服务器攻击外网别的主机,很有可能是中病毒了。(参考链接为:https://www.leiphone.com/news/201706/oCidY2C8IPHt82mF.html?viewType=weixin。)

1、查看防火墙

首先查看了防火墙上面的日志,发现大量的日志报警信息,均是CPU使用率过高。

防火墙上面的日志

和已知情况差不多,服务器和外地一主机进行大量的会话连接,应该是服务器被当作肉鸡对外网别的机器进行攻击。

2、查看服务器

登录上服务器,查看网络相关情况,发现该服务器对外发包68.4TB数据,流量之大让人有些惊讶。

查看服务器

查看进程的详细信息,发现有一个进程占cpu资源非常多,如下图所示。初步判断这是病毒的相关进程,对libstdc进程进行处理,先强制停止该进程,命令为killall-9 libstdc,意为关闭所有名为libstdc的进程,也可后面跟对应的pid号。

查看进程的详细信息

找到病毒的所在位置使用find命令,在所有目录下查找find / -namelibstdc,然后删除相关的程序(绿色代表可执行文件)。

找到病毒的所在位置

使用rm –rf进行删除操作,然而提示没有足够权限。使用lisattr命令发现该程序被赋了i权限(文件不可更改),然后用chattr –i来去除这个属性就可以顺利删除了。删除后不可掉以轻心,病毒很容易再生,所以防止它再生应立刻给该目录赋予i权限,使用chattr +i命令。

进行删除操作

3、查看任务计划

查看了任务计划,未发现存在libstdc相关计划任务。

4、查看ssh配置文件

查看任务计划

查看了sshd_config文件,不存在信任的木马文件 。

5、查看历史命令

只使用了cd、ls、cat等命令,未发现异常,应该是被黑客抹去了。

6、检查其他后门及病毒

安装rkhunter程序,扫描rootkit文件,使用wget命令,不是默认有的,需要自己安装。

检查其他后门及病毒

扫描结果如下图所示,发现了BillGates botnet component(比尔盖茨僵尸网络组件)。

比尔盖茨僵尸网络组件

去扫描日志/var/log/rkhunter.log中查看可疑文件。找到一些木马后门病毒等,还有木马的启动程序(应该是比尔盖茨僵尸网络的相关组件)。

/tmp/gates.lod

/tmp/moni.lod

/usr/bin/.sshd

/usr/bin/bsd-port/getty

/usr/bin/bsd-port/getty.lock

/etc/init.d/DbSecuritySpt

/etc/rc.d/init.d/DbSecuritySpt

/etc/rc1.d/seclinux

将上面的文件一一删除,删除完以后一定记得要禁止系统服务目录的写入权限:

禁止系统服务目录的写入权限

其中的moni.lod这个可执行文件怎么删除都删不掉,后来采取更改权限来解决,让它无法执行。使用命令为chmod –R 000 moni.lod

更改权限

删除相关文件后,进行复扫,复扫结果表明,billgates botnet component已消失。

最后在服务器上,安装了杀毒软件clmava,安装命令为yum -y installepel-release,将主要目录都扫描一遍如/bin、/usr、/etc、/dev、/tmp等。(参考链接:

https://blog.csdn.net/liumiaocn/article/details/76577867。)

安装了杀毒软件clmava

总结

刚开始删除病毒的时候忽略了病毒的再生性,当以为删除完了重启机器后发现病毒又存在了,并且又占了cpu的使用率使得机器很卡。后来查看了多篇文章,看到了禁止系统服务目录的写入权限的办法,之后又重新删除一遍病毒以及后门文件。再次重启就一一查看相关目录,相关病毒文件就不存在了。删除完病毒后,别忘记更改系统密码。查看服务器时,看到很多登录失败的信息以及有几个成功登录的信息。删除不掉的文件,有个笨办法就是把文件的权限改为000,这样就算是病毒它也无法执行。希望此篇文章能够帮助到像我一样的小白们少走些弯路。

*本文作者:橙子xx001,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

# linux # 僵尸网络 # BillGates
本文为 FreeBuf_302302 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
企业应急响应指南
安全分析与研究
FreeBuf_302302 LV.1
这家伙太懒了,还未填写个人描述!
  • 1 文章数
  • 2 关注者
文章目录