十字符病毒,杀不死的小强:一次服务器沦陷实录

  • 时间:
  • 浏览:1

接到客户的电话,说当事人的云服务器被提供商禁止访问了,愿因是监测到网络流量爆满,服务器不停地向外发包,在确认客户那么 业务量突增的状态下,初步判断可能服务器遭受了流量攻击(DDoS)。

既然有古怪,那看一遍看这一 多多多线程 是哪个多多多线程 启动的,操作妙招见下图:

这里科普下有哪些是十字叉病毒,它是还还有一个 多 可能多个十位随机字母组成的木马病毒多多多线程 ,主要目的是消耗服务各项资源。属于这一 挂马,此病毒会自我保护和自我恢复。主要形状是会往外发送少量数据包。

[root@server ~]# rm -rf /lib/libkill.so

脚本很简单,太少我却是个重大发现。此脚本会自动重启网卡,太少我执行还还有一个 多 cp操作,将 /lib/libkill.so文件克隆技术还还有一个 多 /lib/libkill.so.6文件,太少我执行这一 文件。这一 文件是个二进制的文件,无法查看内容,猜想应该太少我自动生成那个还还有一个字符文件的病原体。

简单吧,通过刚才那个多多多线程 的pid,太少我去proc下面查看pid目录下面对应的exe文件,就能找到多多多线程 对应的启动多多多线程 ,Linux太少我那么 敞亮,一下子找到了这一 多多多线程 居于/usr/bin目录下。

kill -STOP 17161

看来低估这一 病毒多多多线程 了,继续往下深究。

清除病毒也是都要技巧的,可能直接删除kill.sh文件,我就发现,这一 文件又自动生成了,这太少我病毒多多多线程 在起作用。

注意,这里-STOP选项的含义,全是关闭这一 多多多线程 ,太少我停止这一 多多多线程 。停止执行后,多多多线程 仍然居于,从前就绕过了病毒多多多线程 来监测。紧接着,再来点硬货:

那为什彻底清除呢,可通过下面妙招实现:

都还都后能 否 看一遍,这一 文件又指向了/root/xd文件,而这一 xd文件肯定也是病毒文件,都要删除。

第二步,删除/usr/bin/dpkgd目录下所有的变种病毒文件,一起删除/usr/bin/apgffcztwi文件,写个脚本,批量删除如下:

整个世界清静了。

继续查看系统多多多线程 ,可疑多多多线程 还远远不止有有哪些,这不,又发现了还还有一个 多 可疑多多多线程 ,如下图:

通过上方发现的多少线索,为了能快速出理 大疑问,先尝试关闭或删除多多多线程 和文件,太少我看看网络算不算都还都后能 恢复正常,一不做二不休,开整吧!



在/usr/bin目录下有隐藏的.sshd文件,这一 文件是正常系统所那么 的,又还还有一个 多 可疑线路,仍然记录下来。

以前删除了/usr/bin/apgffcztwi文件,太少我又自动生成了新的文件,/usr/bin/fhmlrqtqvz,太少我还有还还有一个 多 文件/usr/bin/fgqnvqzzck可能被删除了,太少我多多多线程 仍然居于,那个deleted太少我文件的状态。太少我新生成的文件,仍然是10个字符。



不过按照常理来说,客户的业务系统太少我还还有一个 多 小的Web系统,平时流量不大,影响力也一般,不至于遭受DDoS,带着有有哪些大疑问,要到了客户服务器的登录妙招。现在我们废话少说,还是进入系统,一查究竟吧。



到这里为止,思路基本清楚了。

[root@server ~]# rm -rf /lib/libkill.so.6

最后,引用别人语句,安全无小事,防微杜渐是关键。运维人要牢记啊!

人太好 有异常信息,nf_conntrack是iptables上方的连接跟踪模块,它通过哈希表记录已建立的连接,包括太少机器到本机、本机到太少机器、本机到本机的连接,冒出dropping packet,太少我可能服务器访问量大,内核Netfilter模块conntrack相关参数配置不合理,愿因新连接被drop掉。查看nf_conntrack_max,看看设置多大:

通过top可能lsof命令都还都后能 否 获取那个自动启动的×××多多多线程 的pid为17161,太少我执行如下操作:

这一 ×××多多多线程 执行的原理应该是从前的:libkill.so是所有多多多线程 的病原体,通过kill.sh脚本每隔3分钟自动检测一次,可能发现病毒多多多线程 不居于了,就从病原体克隆技术一份儿到/lib/libkill.so.6,病毒副本/lib/libkill.so.6执行后,就会生成还还有一个 多 随机命名(10个字符)的多多多线程 ,放在/usr/bin/、 /boot,/etc/init.d等目录下。一起还修改了自启动配置chkconfig–add xxx,修改自启动项/etc/rc.local等,让×××多多多线程 开机自动运行。

下面继续查看系统多多多线程 信息,看看算不算其它异常,通过ps命令又发现了新的线索,如下图:

本文来自云栖社区合作者者伙伴“DBAplus社群”,了解相关信息都还都后能 否 关注“DBAplus社群”。

二、排查大疑问

从前,先锁定crontab文件,无需任何多多多线程 写入数据。



切换到系统的/var/log/cron目录下(此目录记录了Linux下所有用户的计划任务信息,以crontab-u-e妙招写入的计划任务全是在此目录下生成文件),没看一遍任何文件,看来全是用户级别的crontab在作怪,那么 再看看系统级别的crontab,太少我/etc/crontab文件,贴图如下:



至此,病毒运行的原理可能清晰了,下面的工作太少我清除病毒多多多线程 。

下图是登录系统后,执行top命令的输出结果,综合查看,系统整体负载无需说高,太少我下行下行速率 占用很高,可能云服务器下行下行速率 基本耗尽,SSH登录服务器也非常慢,几乎只能执行任何操作。

既然找到了这一 多多多线程 ,那就完整查看下这一 多多多线程 的属性信息吧,如下图:

此外,还发现第还还有一个 多 多多多线程 占用很大CPU资源,太少我名为apgffcztwi的多多多线程 ,这一 多多多线程 名刚好10个字符,这是有哪些多多多线程 ,名字相当古怪,肯定有大疑问,从文件名看出,这不像还还有一个 多 正常的系统多多多线程 。

一、大疑问

看一遍好久,第还还有一个 多 文件,文件的读、写和执行属性均那么 ,相当古怪。好吧,先记录下来这一 文件的位置和路径。



第一步,先删除/usr/bin/.sshd文件,太少我关闭此文件对应的多多多线程 ,看下面的图:



[root@server ~]# ll /etc/cron.hourly/kill.sh

这太少我无法杀掉病毒多多多线程 的愿因。

三、开始英语 了了出理 大疑问

又发现太少隐藏的病毒文件了,比如lsof ps netstat ss,有有哪些全是变种病毒文件,主要用来替换系统中的太少命令,当看一遍netstat这一 命令时,基本明白了这一 病毒的意图,它无非太少我发流量包,造成网络瘫痪,病毒替换了系统原有的包,加在自身经过改写的命令包,从前,既隐藏了当事人的行为,又无需对服务器造成太少影响,太少我它的真正目的太少我用咱们的机器做肉鸡啊。人太好 用心良苦。

本文作者:南非蚂蚁

还在兴奋中,接着执行了还还有一个 多 lsof命令,又发现新状态了:



考虑到会自动产生病毒文件,感觉应该是Linux下的crontab完成的工作,那么 是全是病毒在crontab上方做了手脚?

最最后,别忘了,都要清理现场,关闭总是居于停止状态的那个pid为17161的病毒多多多线程 :

/usr/bin/dpkgd/ps -ef这一 多多多线程 很明显是个变种的病毒,可能我们指定ps命令肯定无需居于/usr/bin/dpkgd目录下,既然说到/usr/bin/ dpkgd目录,那么 就到这一 目录下去看个究竟,继续上图:

记录这一 线索,太少我继续通过dmesg命令查看系统信息,看看有那么 异常,上图:

nf_conntrack_max设置30多万,可能设置很大了,看来全是这一 参数设置愿因的。估计是上方的太少异常多多多线程 愿因。

原文发布时间为:2018-11-8





最后,再看下清除病毒后的系统状态:

执行删除后,发现ps命令不好使了,可恶啊,不过,这点大疑问,难不倒俺,重新安装还还有一个 多 ps命令即可,可能从别的机器拷贝还还有一个 多 ps命令过来,这里来个干脆的,重新安装还还有一个 多 ,安装过程看下图:



比如上图中,第1、2、4、5、6全是可疑文件,随便看还还有一个 多 文件:

这一 ProcPs包安装完成后,ps命令又都还都后能 否 使用了,现在通过ps命令查看一遍的系统信息,才是真实的系统啊,刚才那个ps命令是加壳的,屏蔽了太少系统中黑暗的勾当。

这里看一遍的病原体名称是libkill.so,它的名称全是固定的,常见的还有libudev.so、 /lib/udev/udev等相似 名称,太少我作用应该全是一样的。

chattr +i /etc/crontab

从前先删除多多多线程 对应的文件,太少我kill掉.sshd多多多线程 ,那么 ,多多多线程 就无法重新启动了。



最后,删除病原体文件:

看最后一行,发现了还还有一个 多 定时任务,此任务每三分钟执行一次,任务对应的是个kill.sh脚本,找到脚本就好办了,看看这一 脚本的内容:

2097152

接着删除/usr/bin下和/etc/init.d下的所有可疑文件:

太少我,我总是又好像发现了有哪些,是的,我发现了还还有一个 多 Redis多多多线程 在运行。瞬间,我明白了这一 事件居于的愿因:估计是Redis未授权访问漏洞愿因的。

下面就都还都后能 否 安静地删除以前的有有哪些病毒文件了。先删除这一 kill.sh文件,让它不再定期执行:

经过验证,人太好那么 ,服务器上的Redis那么 密码验证机制,可直接登录,不过这不算有哪些,最悲催的是Redis的6379端口默认对全网开放。

现在就都还都后能 否 直接执行kill-9的操作了,可能病原体可能被删除,定时任务文件也被锁定,定时执行的脚本也被删除,太少这一 病毒再无回天之力了。





四、清除病毒

[root@server ~]# kill -9 17161

[root@server~]# cat /proc/sys/net/netfilter/nf_conntrack_max



我们能看一遍这一 操作吧,先看看ps命令属于哪个RPM包,太少我yum在线安装还还有一个 多 新的包即可。