当前位置:论坛首页 > Linux面板 > Linux面板教程

[日常清理挂马教程] 记一次木马查杀过程详细记录

发表在 Linux面板2018-4-9 18:12 [复制链接] 18 3308

本帖最后由 liang2580 于 2018-4-9 21:00 编辑

我今天上班午休的时候,一个朋友找我,说打开网站很慢,我访问了一下,不慢啊,后面我就去睡觉去了。睡醒之后我才发现了问题龌蹉。特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程。
我此刻想想。龌蹉。这么难搞么? 我作为打不死的小强。我就不信了。执行一个命令。卡一下。朋友的机器是8核心16G的机器。
龌蹉。CPU跑到了百分之799 我说怎么这么卡。


这时候我想到一个问题居然是能自我开机启动,要么/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/下有启动脚本,要么有cron计划任务。
于是我发现crontab -l是正常,来到/etc/rc.d/init.d下发现了异常有10位字母的启动脚本,脚本内容如下

龌蹉。龌蹉 。一大坨的东西,吓死我了,那就随便查看一个吧。

  1. [root@localhost rc6.d]# ls
  2. K15pure-ftpd  K25nginx   K50netconsole  K79iprdump  K80iprupdate   K90ghpiscaobv  K90kakaipdban  K90olpcsfiisv  K90srshvadwgl  K90yhcbwmmbui  K90zhwxkkocsx
  3. K25bt         K36mysqld  K50php-fpm-56  K80iprinit  K90eyshcjdmzg  K90jljpidvnbb  K90network     K90rlmqasojjo  K90vnessxebzv  K90ylvjsohrqi  K90zpwtmltusi
复制代码



这tmd 的什么鬼玩意。一脸懵逼
看到这我真是佩服这帮人单用户启动模式都不放过啊,尼玛,你这是赶尽杀绝啊。。。。。。。
到了这里我天真的删除了几个这样的启动脚本,然后重启服务器,问题依旧。。。。。。。。。你妹啊。。。不带这样玩的。。。。rc0-rc6 都中木马
我此刻的心都崩溃了

于是我又很傻很天真的删除了这些启动脚本,并且kill了相关进程,希望的太阳没有升起,沉重的打击再次来临,木马再次自我复制自我运行了。。。。启动脚本再次出现了。。
我知道我进入了误区,重新想思路。。。
不知道为什么我瞬间想到了我遗漏了一个地方,cron,对。。。我是crontab -l 来查看的,还有个地方的cron任务不会在这个命令下出现/etc/cron.*
[
  1. root@Xd9BdoAkG ~]# cat /etc/crontab
  2. SHELL=/bin/bash
  3. PATH=/sbin:/bin:/usr/sbin:/usr/bin
  4. MAILTO=root
  5. HOME=/
  6. # For details see man 4 crontabs
  7. # Example of job definition:
  8. # .---------------- minute (0 - 59)
  9. # |  .------------- hour (0 - 23)
  10. # |  |  .---------- day of month (1 - 31)
  11. # |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
  12. # |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
  13. # |  |  |  |  |
  14. # *  *  *  *  * user-name command to be executed
  15. */3 * * * * root /etc/cron.hourly/gcc.sh
复制代码

你妹啊 啊 啊 啊,不带这样玩的

  1. [root@Xd9BdoAkG ~]# cat /etc/cron.hourly/gcc.sh
  2. #!/bin/sh
  3. PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
  4. for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
  5. cp /lib/libudev.so /lib/libudev.so.6
  6. /lib/libudev.so.6
复制代码

妈的 真难受
删掉
  1. mv /etc/crontab  /etc/crontab2 echo "" >/etc/crontab  && chattr +i /etc/crontab
  2. mv /etc/cron.hourly/gcc.sh /etc/cron.hourly/gcc2.sh && rm -rf /etc/cron.hourly/gcc.sh
复制代码

  1. [root@Xd9BdoAkG ~]# cat /proc/net/dev|grep :|awk -F: {'print $1'}
  2.      lo
  3.     em1
  4.     em2
  5.     em3
  6.     em4
复制代码

我擦,看到这,再次shit,你还知道主动启动网络和外面联系啊。。。。
  1. [root@Xd9BdoAkG ~]# file /lib/libudev.so
  2. /lib/libudev.so: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
复制代码

居然不是脚本什么的,想看文件具体内容暂时是没时间了。。。。。。。
到了这里我们可以确认有几个地方有问题/lib/libudev.so /etc/cron.hourly/gcc.sh /etc/crontab /etc/rc.d/init.d/ /etc/rc.d/rc3.d/
由于对方发送大量数据包,所以开始采取iptables来封禁,发现这玩意直接把output是 state 为new的drop掉。。。。。。。。不想说了,已经被他玩够了,不在乎多一次。。
通过排查可以肯定/lib/libudev.so是主体。其他是协助运行和自我保护自我复制的实现。既然你是个程序还在系统上,我有root,还搞不定么。为了不再多拖时间,直接查杀了。。
  1. [root@Xd9BdoAkG ~]# chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
复制代码


到了这里基本就差不多了。。。。。现在去重启服务器,
  1. [root@Xd9BdoAkG ~]# top -b -n1 | head
  2. top - 18:13:47 up 0 min,  1 user,  load average: 0.11, 0.03, 0.01
  3. Tasks: 178 total,   2 running, 176 sleeping,   0 stopped,   0 zombie
  4. Cpu(s):  1.4%us,  1.6%sy,  0.0%ni, 95.7%id,  1.3%wa,  0.0%hi,  0.0%si,  0.0%st
  5. Mem:  32827160k total,   486308k used, 32340852k free,     6864k buffers
  6. Swap: 16482300k total,        0k used, 16482300k free,    28312k cached  
复制代码

                                                        



辛苦强哥了  发表于 2018-4-9 18:15
使用道具 举报 只看该作者 回复

管理员

发表于 2018-4-9 18:19:08 | 显示全部楼层
完美解决,太佩服那群黑客了
TIM截图20180409181830.png

可以帮忙解决吗  发表于 2018-5-24 17:49
使用道具 举报 回复 支持 反对
发表于 2018-4-9 18:42:37 | 显示全部楼层
牛逼了,要我都不知道怎么办!
使用道具 举报 回复 支持 反对

准内测组成员

发表于 2018-4-9 18:46:45 | 显示全部楼层
不查查,这些脚本是怎样给put上来的吗?
使用道具 举报 回复 支持 反对

管理员

发表于 2018-4-9 19:04:38 | 显示全部楼层
小新 发表于 2018-4-9 18:46
不查查,这些脚本是怎样给put上来的吗?

你是黑客,你会留痕迹么。
使用道具 举报 回复 支持 反对
发表于 2018-4-10 11:24:46 | 显示全部楼层
曾经也在这种木马上折腾过 故意把密码修改成123456, 当时我是锁了几个文件和目录再删除 观察几天一切正常
铁网维专注于windows/linux服务器运维
使用道具 举报 回复 支持 反对

管理员

发表于 2018-4-10 13:38:57 | 显示全部楼层
Alin 发表于 2018-4-10 11:24
曾经也在这种木马上折腾过 故意把密码修改成123456, 当时我是锁了几个文件和目录再删除 观察几天一切 ...

你可能没有发现更深层次的东西
使用道具 举报 回复 支持 反对
发表于 2018-4-17 20:59:12 | 显示全部楼层
学习了.....
使用道具 举报 回复
发表于 2018-4-21 09:43:23 | 显示全部楼层
厉害了我的哥
使用道具 举报 回复 支持 反对

准内测组成员

发表于 2018-4-22 16:04:05 | 显示全部楼层
学习下 就会看个进程名,看端口
使用道具 举报 回复 支持 反对
发表于 2018-4-24 16:34:53 | 显示全部楼层
学习了  谢谢共享
使用道具 举报 回复 支持 反对

管理员

发表于 2018-4-24 16:50:48 | 显示全部楼层
nimei 发表于 2018-4-24 16:34
学习了  谢谢共享

感谢               
使用道具 举报 回复 支持 反对
发表于 2018-5-1 02:35:07 | 显示全部楼层
在什么情况下会被挂马?
使用道具 举报 回复 支持 反对
发表于 2018-5-3 13:18:31 | 显示全部楼层
本帖最后由 liang2580 于 2018-5-3 16:03 编辑

学习了 感觉完全看不懂哈 哈哈
使用道具 举报 回复 支持 反对

管理员

发表于 2018-5-3 16:03:18 | 显示全部楼层
晓天 发表于 2018-5-3 13:18
学习了 感觉完全看不懂哈 哈哈

啊哈哈           
使用道具 举报 回复 支持 反对
12下一页
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

【求助贴,请有以下信息】

①错误提示截图;

②操作系统版本;

③环境信息;

信息详细,秒速帮你处理

上班时间:周一至周六 9:00~18:30

如果紧急,官网后台提交付费工单解决

小黑屋|BT.cn  

© 2014-2018 bt.cn All Rights Reserved.   Powered by Discuz! X3.2

宝塔论坛正在使用宝塔Linux面板维护管理并由尊云(zun.com)提供云服务器支持

快速回复 返回顶部 返回列表