蓋茨木馬
0x00 前言
linux蓋茨木馬是一類有著豐富歷史,隱藏手法巧妙,網(wǎng)絡(luò)攻擊行為顯著的DDoS木馬,主要惡意特點(diǎn)是具備了后門程序,DDoS攻擊的能力,并且會(huì)替換常用的系統(tǒng)文件進(jìn)行偽裝。木馬得名于其在變量函數(shù)的命名中,大量使用Gates這個(gè)單詞。分析和清除蓋茨木馬的過程,可以發(fā)現(xiàn)有很多值得去學(xué)習(xí)和借鑒的地方。
0x01 應(yīng)急場(chǎng)景
某天,網(wǎng)站管理員發(fā)現(xiàn)服務(wù)器CPU資源異常,幾個(gè)異常進(jìn)程占用大量網(wǎng)絡(luò)帶寬:
0x02 事件分析
異常IP連接:
異常進(jìn)程:
查看進(jìn)行發(fā)現(xiàn)ps aux進(jìn)程異常,進(jìn)入該目錄發(fā)現(xiàn)多個(gè)命令,猜測(cè)命令可能已被替換
登錄服務(wù)器,查看系統(tǒng)進(jìn)程狀態(tài),發(fā)現(xiàn)不規(guī)則命名的異常進(jìn)程、異常下載進(jìn)程 :
異常啟動(dòng)項(xiàng)
進(jìn)入rc3.d目錄可以發(fā)現(xiàn)多個(gè)異常進(jìn)行:
/etc/rc.d/rc3.d/S97DbSecuritySpt
/etc/rc.d/rc3.d/S99selinux
搜索病毒原體
find / -size -1223124c -size +1223122c -exec ls -id {} ; 搜索1223123大小的文件
從以上種種行為發(fā)現(xiàn)該病毒與“蓋茨木馬”有點(diǎn)類似,具體技術(shù)分析細(xì)節(jié)詳見:
Linux平臺(tái)“蓋茨木馬”分析
http://www.freebuf.com/articles/system/117823.html
懸鏡服務(wù)器衛(wèi)士丨Linux平臺(tái)“蓋茨木馬”分析
http://www.sohu.com/a/117926079_515168
手動(dòng)清除木馬過程:
0x03 命令替換
RPM check檢查:
命令替換:
文件提取還原案例:
