记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Linux下billgates木马查杀

2017-11-10 22:25

1、异常现象

某服务器频繁外联,流量较异常。登录检查时,发现ps文件被替换了。如图:

Linux下billgates木马查杀 - 第1张  | 暖月

2、木马分析

进入目录,发现系统的lsof、netstat、ps、ss四个文件被替换。如图:

Linux下billgates木马查杀 - 第2张  | 暖月

拷贝一份干净的文件来分析一下。先看一下socket状态。

Linux下billgates木马查杀 - 第3张  | 暖月

Linux下billgates木马查杀 - 第4张  | 暖月

发现两个异常ip的连接30000端口。对ip进行调查分析。
此Ip 198.44.242.147找到域名解析如下:
域名 域名
0.0x000006d9.club

0.club
r.100geili.com

l.com

此IP 160.202.163.10找到域名解析如下:
f.appledoesnt.com

g.bestxlg.com
h.com

n.hcxiaoao.com
w*.hcxiaoao.com

在木马目录下/usr/bin/bsd-port,通过readelf得到源代码文件共44个,如图:
Linux下billgates木马查杀 - 第5张  | 暖月

网上搜索此木马特征,此木马在网上被称为billgates,大多是利用rediscrackit漏洞入侵服务器并种植了名为uname的恶意程序,已经形成非常活跃的DDos僵尸网络。搜索到国内360在2016年分析的文章,http://blogs.360.cn/blog/%E6%9F%90%E5%83%B5%E5%B0%B8%E7%BD%91%E7%BB%9C%E8%A2%AB%E6%8E%A7%E7%AB%AF%E6%81%B6%E6%84%8F%E6%A0%B7%E6%9C%AC%E5%88%86%E6%9E%90/
相当的详细,没有写清除,还得继续分析。
木马结构如表:

程序路径 功能函数 主要功能
/usr/bin/.sshd MainMonitor Monitor,守护进程
MainBeikong 安装等操作,并执行主要功能
/usr/bin/bsd-port/getty MainBackdoor 主要功能执行程序
/bin/,/usr/bin/, /usr/sbin/下 netstat,lsof,ps或ss MainSystool 运行 /usr/bin/dpkgd下备份的系统工具并过滤输出信息

|

查看木马进程信息,如图:
Linux下billgates木马查杀 - 第6张  | 暖月

Linux下billgates木马查杀 - 第7张  | 暖月

至此,两个异常通信进程找到,查找看一下自启动的文件。

Linux下billgates木马查杀 - 第8张  | 暖月

Linux下billgates木马查杀 - 第9张  | 暖月

共找到启动项文件,如下:
/etc/init.d/selinux
/etc/rc.d/init.d/selinux
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc5.d/S99selinux
/etc/rc.d/rc4.d/S99selinux

3、清理木马

1、杀掉进程 /bin/ssh.d、/usr/bin/.sshd 、/usr/bin/bsd-port/getty
2、拷贝干净的lsof、netstat、ps、ss替换系统中的这四个文件。
3、删除启动项:
/etc/init.d/selinux
/etc/init.d/DbSecuritySpt
/etc/rc4.d/S99selinux
/etc/rc5.d/S99selinux
/etc/rc3.d/S99selinux
/etc/init.d/selinux
/etc/rc2.d/S99selinux
/etc/rc1.d/S99selinux
/etc/rc4.d/S99selinux
/etc/rc5.d/S97DbSecuritySpt
/etc/rc3.d/S97DbSecuritySpt
/etc/rc2.d/S97DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc4.d/S97DbSecuritySpt

4、删除文件和目录
/usr/bin/dpkgd/*
/usr/bin/bsd-port/*
/root/ser
/usr/bin/.sshd

知识来源: www.nuanyue.com/linux-xiabillgates-mu-ma-cha-sha-2-2-2/

阅读:333205 | 评论:0 | 标签:安全技术 DDoS 病毒木马

想收藏或者和大家分享这篇好文章→复制链接地址

“Linux下billgates木马查杀”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云