蓋茨木馬
0x00 前言
linux蓋茨木馬是一類有著豐富歷史,隱藏手法巧妙,網絡攻擊行為顯著的DDoS木馬,主要惡意特點是具備了后門程序,DDoS攻擊的能力,并且會替換常用的系統文件進行偽裝。木馬得名于其在變量函數的命名中,大量使用Gates這個單詞。分析和清除蓋茨木馬的過程,可以發現有很多值得去學習和借鑒的地方。
0x01 應急場景
某天,網站管理員發現服務器CPU資源異常,幾個異常進程占用大量網絡帶寬:
0x02 事件分析
異常IP連接:
異常進程:
查看進行發現ps aux進程異常,進入該目錄發現多個命令,猜測命令可能已被替換
登錄服務器,查看系統進程狀態,發現不規則命名的異常進程、異常下載進程 :
異常啟動項
進入rc3.d目錄可以發現多個異常進行:
/etc/rc.d/rc3.d/S97DbSecuritySpt
/etc/rc.d/rc3.d/S99selinux
搜索病毒原體
find / -size -1223124c -size +1223122c -exec ls -id {} ; 搜索1223123大小的文件
從以上種種行為發現該病毒與“蓋茨木馬”有點類似,具體技術分析細節詳見:
Linux平臺“蓋茨木馬”分析
http://www.freebuf.com/articles/system/117823.html
懸鏡服務器衛士丨Linux平臺“蓋茨木馬”分析
http://www.sohu.com/a/117926079_515168
手動清除木馬過程:
0x03 命令替換
RPM check檢查:
命令替換:
文件提取還原案例:
